Ransomware - Nihad A. Hassan

28/12/2019 Una guía para principiantes para proteger y recuperarse de los ataques de ransomware - Nihad A.
Hassan
Página 1
Secuestro de datos
Revelado
Una guía para principiantes para proteger y
Recuperándose de los ataques de ransomware
-
Nihad A. Hassan
Página 2
https://translate.googleusercontent.com/translate_f 1/169
28/12/2019 Una guía para principiantes para proteger y recuperarse de los ataques de ransomware - Nihad A. Hassan
Ransomware revelado
Una guía para principiantes
Protección y recuperación de
Ataques de ransomware
Nihad A. Hassan
Página 3
Ransomware revelado: una guía para principiantes para proteger y recuperarse de

Nihad A. Hassan
Nueva York, Estados Unidos
ISBN-13 (pbk): 978-1-4842-4254-4 ISBN-13 (electrónico): 978-1-4842-4255-1

https://doi.org/10.1007/978-1-4842-4255-1
Copyright © 2019 por Nihad A. Hassan

Esta obra está sujeta a derechos de autor. Todos los derechos están reservados por el Editor, ya sea total o parcialmente
el material se refiere, específicamente los derechos de traducción, reimpresión, reutilización de ilustraciones, recitación,
difusión, reproducción en microfilms o de cualquier otra forma física, y transmisión o información
almacenamiento y recuperación, adaptación electrónica, software de computadora, o por una metodología similar o diferente ahora
conocido o desarrollado a partir de ahora.
Los nombres de marca registrada, logotipos e imágenes pueden aparecer en este libro. En lugar de usar un símbolo de marca registrada con
cada vez que aparece un nombre, logotipo o imagen de marca registrada, usamos los nombres, logotipos e imágenes solo en un
moda editorial y en beneficio del propietario de la marca, sin intención de infringir
marca comercial.
El uso en esta publicación de nombres comerciales, marcas comerciales, marcas de servicio y términos similares, incluso si no son
identificado como tal, no debe tomarse como una expresión de opinión sobre si están o no sujetos a
derechos de propiedad.
Si bien los consejos e información en este libro se consideran verdaderos y precisos en la fecha de publicación,
ni los autores ni los editores ni el editor pueden aceptar ninguna responsabilidad legal por cualquier error o
omisiones que se pueden hacer. El editor no ofrece ninguna garantía, expresa o implícita, con respecto a la
material contenido en este documento.
Director Gerente, Apress Media LLC: Welmoed Spahr
Editor de adquisiciones: Susan McDermott
Editora de desarrollo: Laura Berendson
Editora Coordinadora: Rita Fernando
Funda diseñada por eStudioCalamar
Imagen de portada diseñada por Pixabay
Distribuido al comercio mundial de libros por Springer Science + Business Media New York, 233 Spring Street,
6to piso, Nueva York, NY 10013. Teléfono 1-800-SPRINGER, fax (201) 348-4505, correo electrónico orders-ny @ springer-sbm.
com, o visite www.springeronline.com. Apress Media, LLC es una LLC de California y el único miembro
(propietario) es Springer Science + Business Media Finance Inc (SSBM Finance Inc). SSBM Finance Inc es un
Corporación de Delaware .
Para obtener información sobre las traducciones, envíe un correo electrónico a rights@apress.com o visite www.apress.com/
derechos-permisos.
Los títulos de Apress se pueden comprar a granel para uso académico, corporativo o promocional. versiones de libros electrónicos y
Las licencias también están disponibles para la mayoría de los títulos. Para obtener más información, consulte nuestras ventas a granel impresas y de libros electrónicos
página web en www.apress.com/bulk-sales.
Cualquier código fuente u otro material complementario al que haga referencia el autor en este libro está disponible para
lectores en GitHub a través de la página de productos del libro, ubicada en www.apress.com/9781484242544. Para más
información detallada, visite www.apress.com/source-code.
Impreso en papel sin ácido
Página 4
A mi madre, Samiha, gracias por todo.

Sin ti no soy nada.
—Nihad A. Hassan
Página 5
Tabla de contenido
Sobre el Autor ............................................... .................................................. .... xi
Sobre el revisor técnico .............................................. ................................. xiii
Agradecimientos ................................................. .................................................. xv
Introducción ................................................. .................................................. ........ xvii
Parte I: Introducción a las amenazas de ransomware ........................................... ....... 1
Capítulo 1: Descripción general del ransomware ............................................. .............................. 3

La historia y evolución del ransomware ............................................ ....................................... 4
Malware informático ................................................ .................................................. ...................... 9
Tipos de malware ................................................ .................................................. ....................... 9

Componentes de malware ................................................ .................................................. .......... 14
Tipos de ransomware ................................................ .................................................. ................... 17

Locker Ransomware ................................................ .................................................. ............ 18
Crypto Ransomware ................................................ .................................................. ............ 18
Otros tipos de chantaje digital ............................................. ............................................... 19

Diferencias entre ransomware y otros tipos de malware ........................................... ........ 21
Síntomas del ransomware ................................................ .................................................. ........... 22

Objetivos principales de los ataques de ransomware ............................................. ....................................... 23
Requisitos de notificación de ataques de ransomware ............................................. ....................... 26
Resumen................................................. .................................................. .................................. 28
Página 6
TABLA DE CONTENIDO
Capítulo 2: Métodos de distribución de ransomware ............................................ ........... 29

Email ............................................... .................................................. ......................................... 29
Correo basura .............................................. .................................................. .......................... 30
Ataques a orificios de riego ............................................... .................................................. ................ 33

Malvertising ................................................. .................................................. ............................. 34
Kits de explotación ................................................ .................................................. ................................ 34

USB y medios extraíbles .............................................. .................................................. ......... 36
Sitios web de contenido pirateado .............................................. .................................................. ........... 37

Macros de Microsoft Office ............................................... .................................................. ............. 38
Ransomware como servicio .............................................. .................................................. .......... 39
Conexión de escritorio remoto ............................................... .................................................. ...... 40
Proveedores de servicios gestionados ............................................... .................................................. ....... 42

Botnets ................................................. .................................................. ..................................... 42
Vulnerabilidad de día cero .............................................. .................................................. ................. 43

Falta de entrenamiento ............................................... .................................................. .......................... 43
Etapas de un ataque de ransomware ............................................. .................................................. .. 44
¿Por qué el software antivirus no puede detectar ransomware? .................................................. ................ 45
Resumen................................................. .................................................. .................................. 46
Capítulo 3: Familias de ransomware ............................................. .............................. 47

Ryuk ................................................. .................................................. ......................................... 47
Quiero llorar ................................................. .................................................. ................................. 50

¿Cómo se extendió WannaCry? .................................................. ................................................ 51
Cerber ................................................. .................................................. ...................................... 52
Locky ................................................. .................................................. ........................................ 55
Petya ................................................. .................................................. ........................................ 56

Sam Sam ................................................. .................................................. ................................... 57
DMA Locker ................................................ .................................................. ............................... 59

CryptXXX ................................................. .................................................. .................................. 61
CryptoWall ................................................. .................................................. ................................ 63
Resumen................................................. .................................................. .................................. 66
vi
Página 7
TABLA DE CONTENIDO
Parte II: Estrategias de mitigación de ransomware ............................................ ...... 69
Capítulo 4: Estrategias de defensa de puntos finales ............................................ ..................... 71

Instalar soluciones de seguridad ............................................... .................................................. ........... 72
Técnicas de detección de antivirus ............................................... .............................................. 73
Actualizar SO y aplicaciones instaladas ............................................. ............................................ 76

Tecnología de virtualización ................................................ .................................................. .......... 77
Navegación web segura ............................................... .................................................. ................ 78
Bloquear redireccionamiento de página web .............................................. .................................................. ....... 81
Complementos del navegador web ............................................. .................................................. ............ 83

Defender contra los kits de exploit .............................................. .................................................. ......... 84
Deshabilitar macros en archivos de Office ............................................. .................................................. ...... 84

Deshabilitar Windows Script Host .............................................. .................................................. ...... 84
Use una cuenta con menos privilegios ............................................. .................................................. ...... 86
No instale software pirateado ............................................. .................................................. .... 90
USB Thumb Drive Security .............................................. .................................................. .......... 91

Evite los cargadores de teléfonos públicos .............................................. .................................................. ...... 92
Cambiar extensiones de archivo importantes .............................................. ................................................ 92

Seguridad del dispositivo móvil ............................................... .................................................. .............. 93
Copia de seguridad de sus datos .............................................. .................................................. ....................... 93

Función de copia de seguridad de Windows ............................................... .................................................. ... 94
Copia de seguridad de terceros .............................................. .................................................. ................ 96
Habilite la función de instantáneas en Windows ........................................... ........................... 96
Configure Windows para combatir mejor el ransomware ............................................ ........................... 98

Mostrar extensiones de archivo ............................................... .................................................. ............ 99
Desactivar reproducción automática ................................................ .................................................. ................ 100

Deshabilitar el protocolo de escritorio remoto .............................................. ......................................... 103
Habilitar políticas de restricción de software .............................................. ..................................... 106

Resumen................................................. .................................................. ................................ 113
vii
Página 8
TABLA DE CONTENIDO
Capítulo 5: Estrategias de defensa empresarial contra ataques de ransomware ............... 115

Gestión eficiente de parches ............................................... .................................................. .... 116
Herramientas de administración de parches ............................................... .................................................. ... 118
Endurezca su entorno ............................................... .................................................. ........ 119
Seguridad física ................................................ .................................................. ............... 119
Segmentación de red ................................................ .................................................. ...... 120

Implemente un producto genérico anti-ransomware ........................................... ............................. 121
Usar cuentas de menor privilegio ............................................. ................................................. 122

Gestión de vulnerabilidades ................................................ .................................................. ...... 122
Herramientas de escaneo de vulnerabilidades ............................................... ................................................. 123

Cortafuegos de próxima generación .............................................. .................................................. ........ 123
Sistemas de detección de intrusiones y sistemas de prevención de intrusiones ........................................... ... 125

Network Sandboxing ................................................ .................................................. ............... 127
Bloqueo de URL malicioso ............................................... .................................................. ............ 127
Crear Honeypots ................................................ .................................................. .................... 129
Línea de base de rendimiento de red ............................................... ................................................. 130

Seguridad de correo electrónico .............................................. .................................................. ......................... 131
Filtro avanzado de correo electrónico no deseado ............................................ ............................................. 132
Bloquear archivos adjuntos ................................................ .................................................. ............. 134
Implementar una política de clasificación de datos ............................................. ........................................ 135
Aplicar requisitos de contraseña segura .............................................. .................................... 136
Implementar una política de restricción de uso de software ............................................ ........................... 137

Windows AppLocker ................................................ .................................................. .......... 138
Seguridad de DNS ................................................ .................................................. ........................... 146
Desinfección de datos ................................................ .................................................. ..................... 147
Gobierne el uso de la unidad USB .............................................. .................................................. ............... 147
Mantener una estrategia efectiva de respaldo y recuperación ............................................ ....................... 148
Prevención de pérdida de datos ............................................... .................................................. ............... 149

Herramientas para medir la efectividad de sus defensas .......................................... ..................... 150
viii
Página 9
TABLA DE CONTENIDO
Hacer cumplir una política de seguridad .............................................. .................................................. .......... 151
Elementos principales de un documento de política de seguridad ........................................... ........................ 151
¿Por qué necesita una política de seguridad? .................................................. ................................. 153
Resumen................................................. .................................................. ................................ 154
Capítulo 6: Entrenamiento de Conciencia de Seguridad ............................................ .................. 155

Importancia de la capacitación en concientización sobre seguridad ............................................. ................................. 156
Reduce las brechas de datos y los ataques ............................................. ...................................... 156

Cumple con los requisitos de cumplimiento ............................................... ......................................... 157
Mejora la seguridad general de la organización y aumenta su reputación ............................... 157
Aumenta la efectividad de las defensas tecnológicas ............................................ .......... 158
Evita pérdidas por incidentes de seguridad ............................................. ................................... 158
Aumenta la satisfacción de los empleados ............................................... .......................................... 158
Mejores prácticas al desarrollar un programa de concientización sobre ciberseguridad ....................................... 158

Crear el equipo de concientización de seguridad ............................................. ..................................... 159
Determinar los roles para la conciencia de seguridad ............................................. ............................... 159
Temas cubiertos en la capacitación de concientización sobre ciberseguridad ............................................ .............. 160
Materiales de referencia oficiales para desarrollar un programa de capacitación de sensibilización sobre seguridad ............... 162
Contenido de capacitación sobre conciencia de seguridad .............................................. .......................................... 163
Ataques de ingeniería social ............................................... .................................................. 163

Resumen................................................. .................................................. ................................ 173
Parte III: Manejo de incidentes de ransomware ........................................... .. 175
Capítulo 7: Pagando el rescate ............................................ ................................. 177

Elegir pagar el rescate ............................................. .................................................. ..... 178
Pagos anónimos ................................................ .................................................. ....... 179

¿Qué debo hacer si ya he pagado? .................................................. ............................... 187
Elegir no pagar el rescate ............................................ .................................................. 188
Resumen................................................. .................................................. ................................ 189
ix
Página 10
TABLA DE CONTENIDO
Capítulo 8: Herramientas de descifrado de ransomware ............................................ ................ 191

Identifique el ransomware con el que se ha infectado ......................................... ....................... 192
Herramientas populares de eliminación de ransomware .............................................. .......................................... 193
Herramientas para ransomware de bloqueo de pantalla ............................................ ................................... 193
Encriptadores descifradores de ransomware ............................................... .................................... 194
Recuperar archivos borrados ............................................... .................................................. .............. 197

Recursos para rastrear ransomware .............................................. .......................................... 198
Resumen................................................. .................................................. ................................ 201
Capítulo 9: Respuesta a los ataques de ransomware ........................................... ....... 203

Ciclo de vida de incidentes de ransomware ............................................... ................................................. 204
Preparación ................................................. .................................................. ....................... 204

Detección y Análisis ............................................... .................................................. ....... 206
Contención, erradicación y recuperación ............................................ ................................. 208

Actividad posterior al incidente .............................................. .................................................. ........... 212
Resumen................................................. .................................................. ................................ 212
Índice ................................................. .................................................. .................. 213
Página 11
Sobre el Autor
Nihad A. Hassan es una seguridad de la información independiente
consultor, forense digital y experto en ciberseguridad, en línea
blogger y autor de libros. Ha estado conduciendo activamente
investigación en diferentes áreas de seguridad de la información para más
de una década y ha desarrollado numerosas ciberseguridad
Cursos de educación y guías técnicas. Ha completado
varios trabajos de consultoría de seguridad técnica que involucran
arquitecturas de seguridad, pruebas de penetración, delitos informáticos
investigación e inteligencia cibernética de código abierto (OSINT). Nihad es autor de seis
libros y decenas de artículos de seguridad de la información para diversas publicaciones mundiales. Él
también disfruta de estar involucrado en capacitación en seguridad, educación y motivación. Su corriente
el trabajo se enfoca en forense digital, técnicas antiforenses, privacidad digital y cibernética
OSINT. Cubre diferentes temas de seguridad de la información y asuntos relacionados en su
blog de seguridad en www.DarknessGate.com y recientemente lanzó un sitio dedicado para abrir
fuente de recursos de inteligencia en www.OSINT.link. Nihad tiene una licenciatura en ciencias
Licenciado en Informática por la Universidad de Greenwich en el Reino Unido.
Puedes seguir a Nihad en Twitter (@DarknessGate), y puedes conectarte a él a través de
LinkedIn en https://www.linkedin.com/in/darknessgate.
xi
Pagina 12
Sobre el revisor técnico

Rami Hijazi tiene una maestría en tecnología de la información (seguridad de la información)
de la universidad de Liverpool. Actualmente trabaja en MERICLER Inc., una institución educativa.
y firma de capacitación corporativa en Toronto, Canadá. Rami es un experimentado profesional de TI.
quien imparte conferencias sobre una amplia gama de temas, incluida la programación orientada a objetos, Java,
Comercio electrónico, desarrollo ágil, diseño de bases de datos y análisis de manejo de datos. Rami
También trabaja como consultor de seguridad de la información, donde participa en el diseño
sistemas de encriptación y redes inalámbricas, detectando intrusiones y rastreando datos
infracciones y asesoramiento de planificación y desarrollo para departamentos de TI en relación con
planificación de contingencias.
xiii
Página 13
Expresiones de gratitud
Comienzo agradeciendo a Dios por darme el regalo de escribir y convertir mis ideas en
algo útil. Sin la bendición de Dios, no podría lograr nada.
Quiero agradecer a las damas de Apress: Susan, Rita y Laura. Me complació trabajar
con usted nuevamente y agradezco mucho sus valiosos comentarios y aliento.
También quiero agradecer a todo el personal de Apress que trabajó detrás de escena para hacer esto
libro posible y listo para su lanzamiento. Espero que continúes tu excelente trabajo en
creando libros de computación altamente valorados. Su trabajo es muy apreciado.
xv
Página 14
Introducción
El ransomware es una categoría de software malicioso que impide que los usuarios accedan a sus
calcular los recursos del dispositivo y / o los datos personales, generalmente cifrándolos. Los datos sobre
el dispositivo informático de la víctima es tomado como rehén hasta que la víctima paga un rescate para retirar
La restricción.
Los ataques de ransomware están aumentando y ahora se consideran los más frecuentes
amenazas de ciberseguridad que afectan a las empresas hoy en día: la cantidad de nuevos ransomware
variantes ha crecido 30 veces desde 2015 y actualmente representa aproximadamente el 40 por ciento de
Todos los mensajes de spam. Los ataques aumentaron de uno a 40 segundos a
uno cada 14 segundos. Los individuos, el gobierno y las corporaciones privadas son objetivos.
A pesar de los controles de seguridad establecidos por las organizaciones para proteger sus activos digitales,
el ransomware sigue dominando el mundo de la seguridad y continuará haciéndolo en el
futuro.
Este libro le enseñará prácticamente cómo defenderse contra este tipo de amenaza. Vas a
aprende lo siguiente y más:
• Comprender la anatomía del ransomware y cómo se usa para extorsionar

dinero de sus víctimas
• Comprender los componentes del ransomware en términos simples
• Conozca los diferentes tipos de familias de ransomware
• Aprenda sobre los vectores de ataque empleados por ransomware para infectar
sistemas informáticos
• Aprenda lo que debe hacer para evitar ataques de ransomware

Comprender con éxito su dispositivo de punto final y red
• Comprenda lo que debe hacer si una infección exitosa de ransomware

ha tomado lugar
• Comprender cómo pagar el rescate y las ventajas y desventajas de pagar
• Vea cómo configurar un plan de respuesta de ransomware para recuperarse de

ataques
xvii
Página 15
INTRODUCCIÓN
Público objetivo
Las siguientes personas se beneficiarán de este libro:
• profesionales de TI
• examinadores forenses digitales
• Equipos de respuesta a incidentes.
• miembros del equipo rojo
• Equipos de gestión de vulnerabilidades.
• administradores de red
• Administradores del servidor
Este libro también resultará útil para cualquier persona con conocimiento de TI adecuado que desee
saber cómo mitigar y responder a los ataques de ransomware.
Resumen de contenidos
Aquí hay una breve descripción del contenido de cada capítulo:
• Capítulo 1 , “Descripción general del ransomware” : en este capítulo, presento

ransomware y diferenciarlo de otros tipos de malware. empiezo
hablando sobre los tipos de malware y sus componentes generales. Entonces yo
pase a hablar sobre ransomware, sus tipos, sus objetivos principales y
Los síntomas de infección ransomware. Este capítulo también cubre el
requisitos de notificación de ataques de ransomware después de los EE. UU.
y regulaciones de la UE.
• Capítulo 2 , “Métodos de distribución de ransomware” : en este capítulo,

Discuto los diferentes vectores de ataque empleados por ransomware para
infectar sistemas informáticos. Obviamente, correos electrónicos de phishing y explotación
Los kits son los principales medios utilizados por los cibercriminales para propagarse
Secuestro de datos; Sin embargo, hay más vectores de ataque que ransomware
los autores usan para infiltrarse en sus objetivos.
xviii
Página 16
INTRODUCCIÓN
• Capítulo 3 , "Familias de ransomware" : como su nombre lo indica, esto

El capítulo enumera las principales familias de ransomware. Una familia de ransomware
puede tener más de una variante; Hablaré brevemente sobre cada variante.
y muestra el vector de infección preferido usado por él.
• Capítulo 4 , "Estrategias de defensa del punto final" : el objetivo preferido

para ransomware es una máquina de punto final. Tales dispositivos tienden a ser
menos seguro que los servidores, y asegurarlos es clave para proteger el
toda la red empresarial de ataques maliciosos. En este capítulo, yo
enseñarle cómo optimizar su dispositivo informático para ser más
resistente a los ataques de ransomware y habla sobre los diferentes
métodos utilizados para reducir la superficie de ataque de los ciberataques contra
dispositivos de punto final.
• Capítulo 5 , “Estrategias de defensa empresarial contra ransomware

Ataques " : en este capítulo, cubro los principales elementos de seguridad que todos
las organizaciones deben considerar al proteger sus redes de
ataques de malware, centrándose principalmente en ransomware.
• Capítulo 6 , “Capacitación sobre Seguridad” : En este capítulo,

Hablar sobre la importancia de tener un entrenamiento de concientización de seguridad
programar y discutir qué temas deberían incluirse en tal
programa de entrenamiento. Este capítulo también cubre en detalle cómo
mitigar los vectores de amenazas más comunes contra los computarizados
sistemas que explotan los errores humanos, lo que significa ingeniería social
(SE) ataques.
• Capítulo 7 , “Pagando el rescate” : en este capítulo, respondo

pregunta difícil, ¿deberías pagar el rescate o no? Yo tambien hablo de
métodos de pago anónimos; hay diferentes servicios de pago
empleado por los propietarios de ransomware cuando toman rescates de sus
víctimas, principalmente criptomonedas y tarjetas de regalo prepagas.
• Capítulo 8 , "Herramientas de descifrado de ransomware" : en este capítulo, yo

presentarle diferentes descifradores de ransomware y sugerir una
Método manual para recuperarse del bloqueo del ransomware.
xix
Página 17
INTRODUCCIÓN
• Capítulo 9 , "Respuesta a los ataques de ransomware" : en este capítulo,

Discutir los elementos principales de una respuesta a incidentes de ransomware
planificar y mostrar cómo la existencia de dicho plan puede ser de gran ayuda
para minimizar el daño del ransomware y recuperar las operaciones normales
con rapidez.
Comentarios y preguntas
Para comentar o hacer preguntas técnicas sobre este libro, envíe un correo electrónico al autor a nihad @
protonmail.com. Para referencias adicionales sobre el tema, herramientas de seguridad informática,
tutoriales y otros asuntos relacionados, consulte el blog del autor en www.DarknessGate.
com y el portal dedicado del autor para recursos de inteligencia de código abierto (OSINT) en
www.OSINT.link.
xx
Página 18
PARTE I
Introducción a
Amenazas de ransomware
Página 19
CAPÍTULO 1
Descripción general del ransomware

El rápido desarrollo tecnológico ha traído consigo un aumento en los ataques cibernéticos.
Los delitos cibernéticos se han vuelto más complejos y pueden llevar a comprometer a miles o
incluso millones de dispositivos simultáneamente. Hoy en día hay varios tipos de delitos cibernéticos,
y uno de los últimos, y más temidos, es el ransomware, también llamado extorsión digital o
chantaje digital .
El ransomware es un tipo de malware que impide que los usuarios accedan a sus
recursos informáticos del dispositivo y / o datos personales utilizando diversos métodos.
El ransomware no tiene la intención de dañar el sistema de archivos de la computadora, en su lugar
dejándolo funcional para mostrar la nota de rescate (es decir, las instrucciones de pago) en el
pantalla de la víctima y para proporcionar una forma para que la víctima pague el rescate. Los datos sobre el
dispositivo informático de la víctima (ya sea una computadora, servidor, tableta, teléfono inteligente o
Dispositivo de Internet de las cosas) queda inutilizable hasta que el propietario del dispositivo pague un rescate para
eliminar la restricción
Los dispositivos informáticos infectados con ransomware generalmente mostrarán un aviso en pantalla
amenazando al usuario que debe pagar el rescate dentro de un período de tiempo limitado;
de lo contrario, habrá destrucción permanente de datos. Los autores detrás de la
el ransomware luego recolecta el dinero del rescate usando métodos de pago anónimos (por ejemplo, prepago
tarjetas de efectivo y criptomonedas como Bitcoin) para limitar su rastro monetario. Secuestro de datos
las demandas generalmente promedian entre $ 300 y $ 2,000 para objetivos individuales.
Las versiones anteriores de ransomware usaban métodos simples para bloquear el acceso de los usuarios a
recursos del dispositivo informático / archivos personales, como negar el acceso a las herramientas del sistema o
el escritorio. Las variaciones modernas de ransomware usan cifrado para bloquear fuertemente a la víctima
archivos personales, lo que lo hace irrecuperable sin la clave de descifrado asociada.
A medida que aumenta la dependencia de la tecnología digital, las personas confían cada vez más en
sus dispositivos informáticos, ya sea una computadora o un dispositivo móvil, para organizar
su trabajo y vida personal. En estos dispositivos se almacenan datos personales valiosos, a menudo
incluidos datos corporativos que pueden contener secretos comerciales u operaciones comerciales y
3
© Nihad A. Hassan 2019
Hassan de NA, Ransomware revelado ,https://doi.org/10.1007/978-1-4842-4255-1_1
Página 20
CAPÍTULO 1 DESCRIPCIÓN GENERAL DEL RANSOMWARE
Presupuestos disponibles solo en formato digital. Este cambio a la era de la información significa un
Un ataque de ransomware exitoso contra un sistema desprotegido puede tener consecuencias catastróficas.
Consecuencias.
El ransomware es un problema cada vez mayor que afecta a las personas, el sector público,
empresas y pequeñas y medianas empresas (PYMES). Los acontecimientos recientes se han centrado en
foco intenso en incidentes de ransomware, y se espera que las amenazas de ransomware
empeorar en los años venideros. Cybersecurity Ventures 1 predice que un ataque de ransomware
llegará a un negocio cada 14 segundos para fines de 2019. Los costos estimados de daños de
Los ataques de ransomware alcanzarán los $ 11.5 mil millones anuales en el mismo período. Estos números
no son nada en comparación con la predicción ofrecida por Cisco Systems, que indica que
Los ataques de ransomware están creciendo más del 350 por ciento anual. 2
Este capítulo cubre la aparición de ransomware y habla brevemente sobre su historia,
tipos y lo que lo diferencia de otros tipos de malware. El ransomware es un tipo de malware,
así que también exploraremos tipos de malware, componentes y cómo el ransomware logra su
persistencia en las máquinas víctimas. Comenzaré con una breve historia de ataques de ransomware y cómo
evolucionaron con el tiempo para convertirse en el tipo de ciberataque más amenazador que existe.
La historia y evolución del ransomware

La amenaza del ransomware ha existido desde los primeros días de la computadora clásica
virus. Muchos estudios muestran que el primer ransomware documentado, llamado Trojan de SIDA
(también conocido como el virus PC Cyborg), apareció en 1989. El autor, un biólogo
llamado Joseph Popp, envió 20,000 disquetes infectados a los asistentes del mundo
Conferencia sobre el SIDA de la Organización de la Salud. Los discos fueron etiquetados "Información sobre el SIDA -
Diskettes introductorios "y contenía un cuestionario interactivo utilizado para activar el
malware después de aproximadamente 90 reinicios de la máquina de la víctima.
El ransomware troyano del SIDA funcionó ocultando todos los directorios y cifrando
nombres de archivo ubicados en la unidad C: \ en la máquina de la víctima, haciendo que Windows
SO inutilizable. Para eliminar la restricción, la víctima tuvo que pagar $ 189 a un panameño
1 Cybersecurityventures, “Costos globales de daños por ransomware predichos para golpear

$ 11.5 mil millones para 2019 ”01 de febrero de 2019. https://cybersecurityventures.com/
informe-de-daños-ransomware-2017-parte-2 /
2 Cisco, "Serie de informes de ciberseguridad de Cisco" 01 de febrero de 2019. https://www.cisco.com/c/en/us/
products / security / security-reports.html # ~ stickynav = 2
44
Página 21
Capítulo 1 descripción general del ransomware
apartado de correos. El ransomware troyano del SIDA no era sofisticado y usaba un simple
algoritmo de cifrado simétrico para cifrar los archivos de la máquina víctima que fue
relativamente fácil de superar Sin embargo, trajo graves daños a diferentes investigaciones.
Centros alrededor del mundo.
El siguiente paso importante en la evolución del ransomware fue en 1996 cuando dos investigadores
escribió un documento presentado en la Conferencia de Seguridad y Privacidad de IEEE (1996). Este papel
sugirió un programa de prueba de concepto que utilizó encriptación de clave pública para crear
código malicioso para extorsionar dinero de las computadoras de las víctimas afectadas con este tipo de
malware El documento sugirió los términos extorsión criptoviral y criptovirología para
nombra este tipo de ciberataque.
¡Nota! Criptovirología es un término utilizado para describir la ciencia que combina

Tecnología criptográfica con malware para crear software malicioso.
Hasta 2005, el ransomware no era muy popular entre los cibercriminales, y no

Se produjeron incidentes importantes con este tipo de malware. Esto cambió dramáticamente en
2005, sin embargo, cuando los creadores de ransomware comenzaron a usar el cifrado en sus
código. En 2005, surgieron nuevas variantes de ransomware, como Krotten, Archiveus y
GPCoder. GPCoder fue el más notable ya que utilizaba cifrado RSA de 1.024 bits:
consideraba un cifrado seguro en ese momento, haciendo que la recuperación de los archivos de las víctimas se
Una técnica de fuerza bruta difícil. En ese momento, las compañías de antivirus respondieron a esto
amenaza emergente al agregar la información ( firma ) de cada variante descubierta
de ransomware en su lista de firmas antivirus, lo que resulta en detener la mayor parte de
ataques de ransomware en ese momento.
En 2009, surgió un ataque de ransomware diferente conocido como Vundo; estaba acostumbrado a
robar dinero de las víctimas utilizando tácticas de scareware (es decir, convencer a las víctimas para que compren seguridad
software como XPAntiVirus2009 diciéndoles que su computadora estaba infectada
con un virus). Esto cambió la función de ransomware a cifrar archivos y pedir un
rescate ($ 40) para descifrar los archivos! Aunque Vundo es un malware polimórfico , lo que significa
que cambia su ejecutable cada vez: los proveedores de antivirus han agregado continuamente todo
las variantes de Vundo descubiertas en sus firmas de bases de datos de virus para detenerlo.
En 2012, el ransomware expandió su operación a proveedores de servicios específicos y comenzó
usando tácticas amenazantes para extorsionar a sus víctimas con dinero. Por ejemplo, ransomware
los perpetradores atacaron sitios web de pornografía y software pirateado y amenazaron
visitantes diciendo que habían violado la ley al ver contenidos de pornografía infantil o
55
Página 22
había infringido los derechos de autor al descargar contenidos pirateados. En consecuencia, su

los archivos personales fueron bloqueados por la agencia local de aplicación de la ley, y deberían pagar
una multa a la policía para recuperar el acceso a la computadora bloqueada (ver Figura 1-1) Lo mas
notable ransomware que usó tales tácticas para hacerse pasar por agencias de aplicación de la ley
fueron Reveton y Kovter. Reveton recolectó su rescate usando tarjetas de efectivo anónimas y
Criptomoneda Bitcoin. Algunas fuentes estimaron que Reveton adquirió $ 44,000 por día
para un solo país objetivo.3
Figura 1-1. Esta infección de ransomware pretende ser de una aplicación de la ley
autoridad.
3 Krebsonsecurity, "Inside a 'Reveton' Ransomware Operation" 11 de febrero de 2019.https: //

krebsonsecurity.com/2012/08/inside-a-reveton-ransomware-operation
66
Página 23
Impulsado por el éxito de Reveton en recolectar una cantidad considerable de efectivo

de sus víctimas, diferentes variaciones de ransomware comenzaron a aparecer en 2013 a través de
2015 como Cryptolocker, Torrentlocker, Cryptowall y Teslacrypt. Estos malware
los programas utilizaron estándares de cifrado sólidos (p. ej., AES y RSA-2048 bits), lo que llevó a
crecimiento explosivo en los pagos de rescate que alcanzó más de $ 325 millones a fines de 2015.
En 2016, el ransomware continuó evolucionando al agregar características más avanzadas a
sus operaciones como un temporizador de cuenta regresiva (con un rescate que aumenta con el tiempo si
la víctima no pagó) además de hacer que las variaciones modernas de ransomware puedan
propagarse a través de redes informáticas automáticamente. Los creadores de ransomware también agregaron
formas adicionales de pagar el rescate y simplificar el proceso de pago, lo que facilita
para seguir incluso por usuarios no expertos en informática. Locky, Petya y SamSam fueron los más
familias notables de ransomware que aparecieron en ese año.
¡Nota! algunas variantes de ransomware como Doxware amenazan con liberar a sus víctimas
datos personales (p. ej., fotos, videos, información confidencial, conversaciones de chat,
y secretos comerciales) al público si se niegan a pagar el rescate. otra variante de
el ransomware Doxware se llama tiempo de palomitas de maíz, lo que le da a su víctima la opción
para pagar el rescate o infectar a dos de sus amigos con él.
2016 fue notable por la cantidad de nuevas familias de ransomware introducidas. los
el número de familias de ransomware descubiertas en 2016 fue de 247, un aumento del 752 por ciento
sobre 2015.4 4
2017 fue nominado por muchos expertos en seguridad como el año dorado del ransomware.
El ataque más notable fue el ransomware WannaCry / WCry. Este malware tiene
extendido por todo el mundo, su nota de rescate admite 27 idiomas y tiene la capacidad
para propagarse a través de redes conectadas para infectar servidores y sistemas conectados.
Según Cybersecurity Ventures, los ataques de ransomware le cuestan al mundo $ 5 mil millones en
solo este año5 con $ 4 mil millones causados solo por WannaCry!6 6
4 Trendmicro, “Ransomware: pasado, presente y futuro” 11 de febrero de 2019. https: // documentos.

trendmicro.com/assets/wp/wp-ransomware-past-present-and-future.pdf
5 Cybersecurityventures, “costos de los daños Mundial ransomware prevé que Hit
$ 11.5 mil millones para 2019 ”14 de febrero de 2019. https://cybersecurityventures.com/
informe-de-daños-ransomware-2017-parte-2 /
6 Cbsnews, “Las pérdidas por ataque de ransomware 'WannaCry' podrían alcanzar los $ 4 mil millones” 10 de febrero de 2019.
https://www.cbsnews.com/news/wannacry-ransomware-attacks-wannacry-virus-losses/
77
Página 24
El gran aumento en el daño del ransomware en 2017 fue causado principalmente después de
el grupo de hackers Shadow Broker lanzó el repositorio de piratería filtrado por la NSA
herramientas que contienen, entre otras herramientas, exploits secretos que permiten a los perpetradores
para explotar vulnerabilidades en PC y servidores con Windows además de virtual privado
redes (VPN) y sistemas de firewall. Básicamente, se utilizaron las herramientas filtradas por la NSA
por grupos criminales para difundir ransomware a nivel mundial utilizando vulnerabilidades sin parches
en el sistema operativo Windows.
2018 fue testigo de una disminución en los ataques de ransomware. Según informes publicados
por Kaspersky's 7 y Malwarebytes,8 infección ransomware cayó 30 por ciento en todo el mundo.
Aunque estas cifras son de alguna manera alentadoras, las estadísticas muestran que mientras
el volumen del ransomware disminuyó en 2018, se volvió más sofisticado y muchos más
Las variantes vienen con una capacidad de autopropagación. Aunque es difícil prever el
futuro de la ciberseguridad exactamente, Cybersecurity Ventures predice que los daños por cibercrimen
alcanzará los $ 6 billones para 2021; el mismo estudio predice que un ataque de ransomware golpeará
un negocio cada 11 segundos para 2021, y el daño estimado causado por ransomware
le costará al mundo $ 20 mil millones en 2021.9 9
¡Nota! Tenga en cuenta que cuando hablamos de daños de ransomware, estamos

apuntando a la pérdida completa causada por los ataques de ransomware. esta pérdida incluye
pérdida de productividad, costos asociados con la realización de investigaciones forenses
de los sistemas y redes afectados, los costos de restaurar los datos de la copia de seguridad a
reanudar las operaciones habituales y los costos de contratar consultores de emergencia y crisis
gerentes para empresas.
7 Kasperskycontenthub, "Informe KSN: Ransomware y cryptominers maliciosos 2016-

2018 ”14 de febrero de 2019. https://media.kasperskycontenthub.com/wp-content/
uploads / sites / 58/2018/06/27125925 / KSN-report_Ransomware-and -icious-
cryptominers_2016-2018_ENG.pdf
8 Malwarebytes, "Tácticas y técnicas de cibercrimen: Q2 2018" 11 de febrero de 2019.https: //
resources.malwarebytes.com/files/2018/07/Malwarebytes_Cybercrime-Tactics-and-
Techniques-Q2-2018.pdf
9 Cybersecurityventures, “Daños por delitos cibernéticos $ 6 billones para el 021” 11 de febrero de 2019. https: //
cybersecurityventures.com/cybercrime-damages-6-trillion-by-2021/
Página 25
Un ejemplo de pérdida comercial (sin pagar el rescate) es lo que sucedió con

gobierno de la ciudad de atlanta. en marzo de 2018, el gobierno de atlanta fue golpeado por el
Samsam ransomware. para reconstruir sus redes de computadoras y restaurar sus servicios,
La ciudad gastó más de $ 5 millones.
Ahora que tiene una comprensión justa de la historia del ransomware y de cómo
evolucionado hasta nuestros días, hablaré brevemente sobre el concepto de malware informático, en
en general, para que pueda comprender mejor el papel del ransomware en esta cadena.
Malware informático
Malware , abreviatura de "software malicioso", es un término general utilizado para describir todos los tipos
de programas de software que pueden provocar daños o robar datos de la informática de destino
dispositivo. La mayoría de los tipos de malware deben ser ejecutados (activados) por el usuario para ejecutar su
código malicioso y propagación a otras computadoras y redes. El malware puede propagarse
manualmente (físicamente) utilizando disquetes, CD / DVD y memorias USB y otros extraíbles
medios, o se pueden entregar a través de la Web (por ejemplo, archivos adjuntos de correo electrónico, pirateados
software, programas gratuitos de Internet y redes sociales). Pueden golpear diferentes tipos de SO
(Windows, Linux, Unix, Android, iOS y Mac). Hay diferentes clases de malware,
y dentro de cada clase, hay varios subtipos. En las próximas secciones, daré
Una descripción general de alto nivel de algunos tipos de malware.
Tipos de malware
En esta sección, clasificaré los tipos de malware más conocidos según el tipo de
daño causado por cada uno.
Virus
Este es el término más clásico y antiguo utilizado para describir la computadora maliciosa
software. La intención principal de un virus informático es causar daños a la víctima.
archivos del sistema operativo, lo que hace que el sistema sea inestable y obliga al usuario a formatearlo
para devolverlo a su estado original.
99
Page 26
Gusanos
El gusano Morris, o gusano de Internet, fue uno de los primeros en ser visto en la naturaleza. En
Noviembre de 1988, se distribuyó a través de Internet y causó daños significativos a
Los sistemas infectados. Este es otro tipo de ataque de la vieja escuela que todavía se usa ampliamente
para propagar código malicioso en las redes. Originalmente, el objetivo de los gusanos no era
destruir o comprometer el sistema operativo como virus informáticos; en cambio, un gusano trabaja para propagarse
de una máquina a otra a través de redes internas o Internet sin usuario
intervención. Los gusanos modernos también pueden transportar otro malware, como ransomware, a
Dañar una computadora host.
Los gusanos generalmente atacan a los clientes de correo electrónico en la máquina víctima (por ejemplo, Microsoft
Outlook o Thunderbird) y copiarse a todos los contactos en la libreta de direcciones
para distribuir aún más su infección a nuevas ubicaciones. Los gusanos también pueden propagarse por
explotando vulnerabilidades en protocolos de red. Los gusanos pueden hacer que las computadoras funcionen
lentamente porque pueden consumir su espacio en disco y ancho de banda de Internet. Gusano
las propagaciones pueden causar una gran pérdida de ingresos para las empresas cuando se distribuyen dentro de un
Intranet de la empresa.
Secuestro de datos
El ransomware es un tipo de malware que niega el acceso a los archivos del usuario, a veces encriptando
todo el disco duro e incluso todos los discos duros externos y recursos compartidos de red conectados,
después de lo cual exige un rescate del usuario para recuperar el acceso al sistema y almacenado
información. Todo este libro trata sobre este tipo de amenaza.
Criptojacking
Este es un fragmento de código, generalmente escrito en JavaScript, que infecta una computadora en silencio cuando
la víctima hace clic en un enlace malicioso en un correo electrónico o visita un sitio web comprometido infectado
con este malware Gran parte del malware de criptojacking se instala a través de kits de exploits como RIG
kits de exploits para Flash, Java, Silverlight e Internet Explorer. Después de ejecutar el malware,
el código malicioso comienza a funcionar en segundo plano para extraer criptomonedas y luego
transferir los fondos generados a los delincuentes que lo respaldan. El criptojacking usa lo mismo
tácticas empleadas por ransomware para infectar sistemas.
10
Página 27
¿Qué es un kit de exploit?
Esta es una aplicación web maliciosa alojada en un sitio web comprometido y utilizada
para analizar automáticamente las vulnerabilidades en la máquina víctima al acceder a
sitio web comprometido para obtener acceso no autorizado e instalar malware. Tu
Aprenda más sobre los kits de exploits en el Capítulo 2.
Scareware
Scareware, también conocido como software de engaño o fraude , es una forma de malware que
usa tácticas de ingeniería social para causar conmoción, ansiedad o la percepción de una amenaza en
para convencer a los usuarios de que compren software no deseado. Scareware pertenece a lo digital
Categoría de extorsión de código malicioso, similar al ransomware. Por ejemplo, scareware puede
venir en forma de un mensaje emergente que aparece como una advertencia legítima de un importante
vendedor de antivirus. El mensaje de advertencia amenazará al usuario de que la computadora está infectada
con un virus y deben comprar un software antivirus, que es falso, para limpiar el
infección. La idea es engañar al usuario para que compre algo innecesariamente para
tomar el dinero del usuario.
Adware
El adware (abreviatura de "software respaldado por publicidad") entrega anuncios a la víctima
máquina sin consentimiento. Muchos creadores de software usan adware para generar ingresos de
sus programas informáticos y aplicaciones móviles de distribución gratuita. Adware incluido con gratis
los programas y aplicaciones se consideran legales siempre que declare su función (por ejemplo, mostrar
anuncios) claramente en la descripción del software o el acuerdo de licencia; sin embargo,
el problema surge cuando el adware viene incluido con otro programa malicioso
llamado spyware que puede registrar y rastrear las actividades en línea de un usuario además de robar
información confidencial como nombres de usuario y contraseñas.
Spyware
El spyware es un tipo de software de seguimiento similar al adware, pero se usa únicamente para programas maliciosos
intención. El spyware puede monitorear todo lo que escribe en su teclado y enviarlo a su
operador. Algunos tipos instalan otro malware (como ransomware) en la máquina de destino para
facilitar la realización de otras acciones maliciosas
11
Página 28
Caballos de Troya
Este es otro tipo de software malicioso que se instala silenciosamente en la máquina víctima. UN
El troyano generalmente viene incluido con un archivo normal o un programa de Internet para engañar a los usuarios
descargándolo e instalándolo. Un troyano permite a su operador tener control total sobre el
dispositivo informático infectado, incluida la cámara, el micrófono y cualquier cosa que escriba
tu teclado Un troyano también puede instalar malware adicional y / o conectar a los infectados
computadora a una red botnet.
Puertas traseras
La funcionalidad de puerta trasera existe dentro de muchos tipos de malware; en términos simples, una puerta trasera
es un código malicioso que abre un puerto en la máquina víctima para permitir que el hacker (ya sea
humano o sistema / bot) obtienen acceso no autorizado para realizar sus acciones maliciosas. Como
mencionado, la puerta trasera está incorporada en muchos tipos de malware, como
acceder a troyanos y rootkits. Tenga en cuenta que las puertas traseras también pueden venir en forma de
hardware integrado en la CPU, discos duros, dispositivos periféricos o redes
equipo.
Descargadores
Este es un tipo de malware que descarga otro malware. Un descargador contendrá
dentro de su código, una URL para descargar el otro malware después de la ejecución. Nemucod, que
es un descargador de troyanos, se utilizó para descargar ransomware como TeslaCrypt o Locky
en máquinas víctimas.
Rootkits
Un rootkit es un tipo peligroso de malware; tiene la capacidad de obtener acceso completo
(acceso administrativo) sobre el sistema y tiene la capacidad de evitar la detección normal
programas (antivirus y antirootkit) al notar su presencia. Algunos
ataque de rootkits peligrosos a nivel de hardware (rootkits de firmware), y la eliminación puede
requieren reemplazo de hardware o intervención especializada.
12
Página 29
Botnet y ataques de denegación de servicio distribuidos

Una denegación de servicio distribuida (DDoS) es un tipo de ciberataque que intenta realizar un
el servicio en línea no está disponible al inundarlo con tráfico de múltiples fuentes. Perpetradores
construir redes de computadoras infectadas, que podrían ser millones de máquinas, conocidas como
botnets , mediante la difusión de software malicioso a través de correos electrónicos, sitios web y redes sociales.
Una vez infectadas, estas máquinas pueden ser controladas remotamente por un botmaster, sin su
conocimiento de los propietarios, y utilizado como un ejército para lanzar un ataque contra cualquier objetivo, como un
servidor o un sitio web.
Las botnets pueden generar grandes inundaciones de tráfico para abrumar a un objetivo. Estas inundaciones
se puede generar de varias maneras, como enviar más solicitudes de conexión que un
el servidor puede manejar, manipulando las banderas TCP (como el conocido Árbol de Navidad
ataque), o hacer que las computadoras envíen a la víctima grandes cantidades de datos aleatorios para usar
hasta el ancho de banda del objetivo.
Otros tipos de malware

Hay algunos otros tipos de malware que pueden realizar funciones similares a los tipos
ya mencionado.
• Keylogger (tanto hardware como software) : se utiliza para grabar

actividades informáticas de la víctima a partir de grabaciones de voz, capturas de pantalla,
micrófonos y cámaras.
• Herramientas de pirateo : estos son programas simples que se utilizan para recuperar contraseñas
desde navegadores y otras aplicaciones instaladas y puede ser
incorporado en otro malware con fines maliciosos como
Mimikatz, que viene asociado con el ransomware WannaCry
y se usa en muchos ataques dirigidos del ransomware SamSam.
¡Nota! mimkatz es una herramienta de piratería que se utiliza para extraer contraseñas de texto sin formato, hashes, pin
códigos y tickets Kerberos de ram. Está disponible en https://github.com/
gentilkiwi / mimikatz.
• Exploit kit : este es un programa de software que aprovecha

vulnerabilidades en muchos sistemas operativos (especialmente los obsoletos) y otros
software (especialmente navegadores web) para obligarlos a comportarse inesperadamente.
13
Página 30
Componentes de malware
En general, el malware se compone de las siguientes partes:
• Carga útil : este es el componente real del malware que causa

Daño a la máquina víctima. Ejemplos de daños causados por
la carga maliciosa incluye lo siguiente:
• Robo de información confidencial como contraseñas, banca

información, archivos personales e información financiera.
• Actividades de espionaje (por ejemplo, monitorear las actividades de las víctimas en un

computadora).
• Visualización de anuncios no deseados (adware malicioso) y monitoreo

hábitos de navegación en línea para dirigirse al usuario con personalización
anuncios publicitarios.
• Agregar una máquina víctima a una red botnet para usarla más tarde para
lanzar ataques DDoS.
• Modificación de sistemas y archivos personales. Por ejemplo, un malicioso

la carga útil puede eliminar o modificar archivos del sistema (por ejemplo, gestor de arranque),
haciendo que no se inicie.
• Descarga de nuevo malware.
• Bloquear el acceso a los archivos de las víctimas y mantenerlos como rehenes durante
rescate.
• Envío de correos electrónicos no deseados sin el consentimiento del usuario.
• Ejecutar un proceso de fondo oculto que consume a la víctima

recursos de la máquina (por ejemplo, minería de criptomonedas).
• Dar acceso a la puerta trasera a la máquina de la víctima.
14
Page 31
¡Nota! Estas son formas en que se ejecuta una carga maliciosa:
• abrir un archivo ejecutable (por ejemplo, desde archivos adjuntos de correo electrónico).
• abrir algunos tipos de archivos no ejecutables (por ejemplo, algunos autores incrustan
cargas maliciosas dentro de archivos pnG).
• Usar una bomba lógica para ejecutar automáticamente el código malicioso una vez que algunos
Se cumplen las condiciones. Por ejemplo, para evitar sospechas, un empleado descontento
puede indicar al malware que comience a ejecutarse después de abandonar la empresa objetivo.
• Ofuscador / empaquetadores : la carga útil por sí sola no puede hacer lo previsto

daño, especialmente cuando hay un antivirus robusto y actualizado
solución en la máquina de destino. Los ofuscadores / empacadores ayudan al malware
los autores evaden los escáneres antivirus y los sistemas de detección de intrusos
(IDS) cambiando el código de malware (comprimiéndolo y cifrándolo)
para ocultar su intención maliciosa Algunos programas se descomprimen en la memoria
mientras se ejecuta usando empaquetadores de tiempo de ejecución; esta técnica fue originalmente
creado para comprimir el código (hacerlo más pequeño) y luego descomprimirlo
en memoria al ejecutar; Sin embargo, ahora se ha utilizado mucho
con fines maliciosos
• Persistencia : el malware debe ejecutarse mediante reinicios para

Continuar su trabajo. Como el sistema operativo Windows domina la cuota de mercado,
Los siguientes son ejemplos de dónde se puede ocultar el malware en Windows para
lograr sus objetivos:
• Carpetas de inicio
• Ubicaciones de inicio automático en el registro de Windows
• servicios de Windows
• Programar tareas
• carpetas temporales
• Secuestro de accesos directos (cambio del atributo Target del acceso directo
íconos, forzándolo a descargar malware de sitios web maliciosos
al iniciar el programa normal), como se muestra en la Figura 1-2
15
Página 32
Figura 1-2. Empleando técnicas de secuestro de atajos para descargar malware

iniciar el navegador Google Chrome
• Componente Stealth : el malware puede alcanzar su sigilo usando diferentes

tácticas como las siguientes:
• Ocultamiento del proceso.
• Inyectar código de malware en un proceso legítimo como un hilo.
• Sockets ocultos, por ejemplo, utilizando canales encubiertos.
• Ocultar módulos y archivos DLL.
dieciséis
Page 33
• Uso de malware sin archivos, como el uso de herramientas integradas de Windows (por ejemplo,
Instrumentación de administración de Windows y PowerShell)
ejecutar código malicioso La detección de malware sin archivos es extremadamente
difícil usar técnicas de escaneo tradicionales como la firma
métodos basados o sandboxing. El ransomware Sorebrect utiliza
Esta técnica de evasión para evitar las soluciones de seguridad.
• Cambiar la extensión del archivo. Este es un viejo truco pero todavía se usa
(p. ej., someFile.pdf.exe).
• Blindaje : Se trata de un conjunto de técnicas utilizadas por el malware para evitar

analizadores de antivirus y malware de capturarlo. Por ejemplo,
el malware intenta detectar si se ejecuta bajo una máquina virtual
entorno o un depurador o si se están utilizando herramientas de análisis de malware
ejecutado como tcpdump.exe y wireshark.exe. La armadura
La técnica es crucial para aumentar la vida útil del malware y
proteger sus comunicaciones con los servidores de control.
• Comando y control (C&C) : como su nombre lo indica, el C&C

El centro es responsable de enviar las instrucciones y otros datos (por ejemplo,
descargando una nueva versión del malware instalado o distribuyendo
la clave de cifrado / descifrado en caso de ataque de ransomware) para
malware que reside en máquinas comprometidas. También es responsable
para recibir datos robados extraídos de máquinas víctimas como
contraseñas e información financiera. Algunos programas maliciosos usan la nube
servicios basados, como el correo web y los servicios de alojamiento de archivos, como C&C para
aparecer como tráfico normal para evadir la detección por soluciones de seguridad.
Tipos de ransomware
Existen principalmente dos tipos de ransomware: crypto y locker ransomware. Sin embargo,
El ransomware pertenece a la categoría de extorsión digital del delito cibernético, que también contiene
otros tipos de delitos cibernéticos que tienen como objetivo adquirir o denegar ilícitamente el acceso a datos personales en
cambio por una ganancia monetaria. En esta sección, hablo sobre los tipos de ransomware y enumero los
diferentes tipos de delitos cibernéticos que se encuentran bajo el paraguas del chantaje digital.
17
34
¡Nota! El objetivo final de la extorsión digital no siempre es extorsionar dinero ilegalmente

a través de rescates. a veces el objetivo final es obtener información de su
víctimas
Los legisladores diferencian entre el chantaje digital y los términos de extorsión digital ;
por ejemplo, consideran que un delito es una extorsión digital cuando un autor bloquea
acceso a los archivos de la víctima y amenaza con destruir datos si la víctima se niega a pagar
un rescate Los delitos que entran en la categoría de chantaje digital se refieren a los delitos
que implican amenazar a las víctimas, ya sean personas o corporaciones, con la liberación
información confidencial si se niegan a cooperar.
en este libro, usaré ambos términos indistintamente, ya que algunas variantes de ransomware
puede hacer ambas acciones.10
Locker Ransomware
El ransomware Locker funciona evitando que la víctima llegue a sus archivos personales
negando el acceso a los recursos informáticos (p. ej., bloqueando el escritorio o evitando
la víctima de iniciar sesión) y luego exigir un rescate para recuperar el acceso.
En comparación con el crypto ransomware, los tipos de ransomware de casillero típicos niegan el acceso a
archivos personales utilizando técnicas relativamente simples que pueden ser superadas por cualquier técnico
usuario; Como resultado, el ransomware de taquillas se puede eliminar de los sistemas infectados sin
que afecta el sistema operativo subyacente y los archivos personales.
Crypto Ransomware
Este tipo de ransomware encripta todos los datos personales en la máquina de destino, llevándolos
rehén hasta que la víctima pague el rescate y obtenga la clave de descifrado del
agresor. Algunas variantes de crypto ransomware eliminarán progresivamente los archivos de rehenes
o liberarlos al público si la víctima no paga el rescate a tiempo. Moderno
10 Itweb, “La realidad de la extorsión digital” 08 de febrero de 2019.https://www.itweb.co.za/content/
G98YdqLxaoZqX2PD
18 años
Página 35
Las familias de ransomware se basan principalmente en este tipo. Puede tener efectos devastadores,
especialmente en agencias corporativas y gubernamentales, si no existe respaldo para restaurar
operación al estado antes del ataque del ransomware. En tales casos, la entidad víctima tiene
solo una opción para recuperar los datos perdidos, que es pagar el rescate.
Después de que el crypto ransomware se instala en el sistema de destino, buscará en silencio
archivos importantes (basados en sus extensiones) y comience a encriptarlos; el ransomware
buscará archivos en el disco duro local y todas las unidades externas conectadas / red
Comparte. Después de cifrar con éxito todos los archivos de la computadora, el ransomware presentará
el usuario con una nota de rescate, que muestra un temporizador de cuenta regresiva y solicita el pago
(rescate) para recuperar el acceso a los archivos de rehenes. El cripto ransomware moderno solicita el pago
principalmente a través de la criptomoneda de Bitcoin.
La mayoría de las infecciones por crypto ransomware no dañarán el funcionamiento de la víctima
archivos del sistema y lo dejarán funcional para que el usuario pueda realizar algunas funciones básicas,
sin la capacidad de acceder a los datos de rehenes que se han cifrado.
Otros tipos de chantaje digital

Ahora que he definido los dos tipos comunes de ransomware, necesito hablar un poco
poco sobre otras técnicas de chantaje digital utilizadas por delincuentes en el ciberespacio para extorsionar
dinero de sus víctimas. Hay tres tipos
Scareware (antivirus falso y aplicaciones engañosas)

Ya hablé de scareware; Este tipo de malware funciona al convencer a las víctimas de
comprar algo en línea que no necesitan mediante la presentación de falsos
alertas de seguridad Por ejemplo, scareware se puede encontrar en dos ubicaciones.
• Cuando un usuario visita un sitio web comprometido con scareware, el

el sitio web infectado mostrará una ventana emergente que parece ser genuina
mensaje producido por el sistema operativo Windows o por un proveedor de antivirus real
(Ver Figura 1-3 ). Esta ventana emergente alertará al visitante que su máquina
está infectado con un virus que el ordinario no puede eliminar
programa antivirus, y le pide al usuario que compre uno en línea (que
es falso) para resolver el problema. Otras variantes de scareware le dan al visitante
una opción para hacer una llamada gratuita a un técnico para resolver el problema
remotamente, donde se pueden aplicar otras tácticas de ingeniería social a
adquirir información confidencial de las víctimas.
19
Page 36
• Si un usuario ve tales alertas emergentes mientras no navega en línea, esto

significa que su máquina está infectada con scareware.
Figura 1-3. Ejemplo de una alerta de scareware que finge ser de ZoneAlarm
Extorsión DDoS
Una denegación de servicio distribuida puede considerarse una especie de chantaje digital cuando
los atacantes amenazan a una entidad objetivo (por ejemplo, bancos en línea, minoristas o cualquier organización que
depende en gran medida de su presencia en línea para generar ingresos) y pedir dinero para no
apuntarlos con tal ataque. Si los cibercriminales logran extorsionar dinero usando esto
método, es probable que la entidad víctima no denuncie el delito.
Rescate de compromiso de datos

En este tipo de extorsión digital, un perpetrador amenazará a la víctima para liberar
datos comprometidos al público a menos que se pague un rescate. Dichas tácticas pueden resultar efectivas
cuando se dirige tanto a individuos como a víctimas corporativas.
20
Page 37
Diferencias entre ransomware y otros

Tipos de malware
Como se mencionó, el ransomware es un subtipo de malware; Sin embargo, hay muchos distintos
características que lo distinguen de otros tipos de malware.
• Algunos tipos de malware apuntan a robar información confidencial del usuario

(p. ej., nombres de usuario, contraseñas, pulsaciones de teclas y archivos personales) o
Proporcionar acceso externo a la máquina víctima. Más malicioso
los tipos de malware traerán daños (por ejemplo, eliminar archivos, cambiar el sistema
configuraciones, o formatear y corromper el SO subyacente
archivos) a los archivos infectados del sistema operativo, lo que lo hace inoperable. Secuestro de datos,
por otro lado, encripta los archivos de la máquina víctima y anuncia su
presencia con una nota de rescate. El objetivo final del ransomware es
extorsionar a sus víctimas sin dañar el sistema operativo subyacente
o datos almacenados.
• Ransomware no requiere privilegios administrativos para cifrar

archivos en la máquina víctima. A diferencia de otro malware, que principalmente
requiere acceso de administrador en la máquina de destino, el ransomware depende
en el permiso actual asignado a la máquina víctima dentro del
organización para encriptar todos los archivos personales, ya sea que estén almacenados localmente
o en una red compartida, a la que esta víctima tiene acceso.
• El cifrado ransomware tiene la capacidad de cifrar todos los tipos de archivos, en

Además de su capacidad de codificar nombres de archivos, haciendo que las víctimas no se den cuenta
del número real de archivos encriptados.
• Ransomware solicita pagos a través de métodos de pago anónimos,

típicamente Bitcoin
• Ransomware utiliza diferentes técnicas de evasión para superar la seguridad.

soluciones como software antivirus y firewalls.
• Algunos tipos de ransomware conectan la máquina víctima a otra

redes de botnets para usarlo como arma en otros ataques cibernéticos.
• El ransomware puede propagarse a través de redes internas y a través de

Internet.
21
38
• El ransomware puede robar información confidencial de la víctima

máquina y enviarlo a sus operadores para fines de chantaje.
• El sofisticado ransomware reconoce la ubicación, lo que significa que se dirige

víctimas según su área geográfica y presenta rescate
notas utilizando el idioma del área objetivo.
Síntomas del ransomware

Es relativamente fácil averiguar si el ransomware le afecta. Los síntomas incluyen
el seguimiento:
• No puede abrir sus archivos; siempre recibes un mensaje de error

que el archivo al que está intentando acceder tiene la extensión incorrecta (por ejemplo,
Windows le pregunta "¿Cómo desea abrir este archivo?") O es
corrupto (ver Figura 1-4 ).
Figura 1-4. Diálogo de Windows 10 cuando el usuario intenta abrir un archivo con un desconocido
extensión
• El ransomware puede cambiar el fondo de escritorio y reemplazarlo.

con una nota de rescate
22
Página 39
• Su computadora está bloqueada y no puede acceder a su escritorio. UN

en su lugar aparece la pantalla de bienvenida que muestra la nota de rescate y cubre
toda la pantalla pidiéndole que pague un rescate en un tiempo limitado
marco; de lo contrario, sus datos se perderán para siempre.
• Una nota de rescate puede aparecer en forma de una ventana de programa que
no cubre toda la pantalla y el usuario no puede cerrarla. UN
el temporizador de cuenta regresiva está disponible dentro de esta ventana para alertar al usuario
sobre el tiempo restante antes de aumentar el rescate o perder el
datos si el usuario no paga el rescate.
• Ve archivos de instrucciones en todos los directorios que contienen archivos cifrados

por el ransomware; estos archivos tienen diferentes formatos como TXT,
PNG y HTML y el nombre está escrito en mayúsculas (por ejemplo,
YOUR_FILES_ARE_ENCRYPTED.HTML y YOUR_FILES_ARE_
ENCRYPTED.TXT).
• Los nombres de los archivos almacenados están codificados y tienen una extensión diferente
o ninguna extensión en absoluto.
Objetivos principales de los ataques de ransomware

Antes de 2015, la mayoría de las víctimas de ransomware eran individuos; sin embargo, en 2015
los operadores de ransomware cambiaron su atención a las empresas objetivo y académicas
organizaciones para adquirir más dinero garantizado de sus ataques. En estos casos,
Microsoft Office y los archivos de base de datos fueron los objetivos principales.
Las empresas son un gran objetivo del ransomware; sin embargo, cualquiera está sujeto a ser un
víctima de tales ataques, como celebridades, políticos, individuos, públicos y privados
organizaciones, e incluso organizaciones benéficas y sin fines de lucro. Campañas de ransomware
se envían de forma masiva (por ejemplo, enviando correos electrónicos no deseados con un enlace para descargar el
ransomware) para infectar tantos dispositivos como sea posible.
En 2016, la industria de la salud se convirtió en un objetivo principal de los ataques de ransomware para muchos
razones. La rápida adopción de la tecnología de TI en hospitales y centros de salud fue
no acompañó la capacitación de seguridad de TI necesaria para combatir posibles ataques cibernéticos;
Además, el sector de la salud es particularmente sensible a cualquier interrupción del servicio, que
hace que la industria de la salud sea atractiva para los ataques de ransomware.
23
Page 40
El ransomware infecta casi todos los tipos de dispositivos de TI, incluidos servidores, dispositivos móviles,
y muchos tipos de dispositivos IoT además de dispositivos de almacenamiento conectados a máquinas víctimas
como memorias USB, tarjetas SD, cámaras digitales y discos duros externos (ver Figura 1-5)
Figura 1-5. Dispositivos que el ransomware puede infectar
La mayoría de las campañas de ransomware se dirigen a dispositivos con sistema operativo Windows y Android porque
La cuota de mercado global para los sistemas operativos está dominada por estos dos sistemas operativos, según
estadísticas recientes publicadas por StatCounter en enero de 2019 (ver Figura 1-6)
24
Page 41
Figura 1-6. Cuota de mercado del sistema operativo en todo el mundo, enero de 2018 a enero
2019 (fuente de datos: http://gs.statcounter.com/os-market-share#monthly-
201801- 201901-bar )
Sin embargo, esto no significa que los ciberdelincuentes no apunten a otros tipos de dispositivos.
Según el informe de Datto "Informe sobre el estado global del canal Ransomware 2018"
Los ataques de ransomware en Apple OS e iOS han aumentado aproximadamente un 500 por ciento en comparación
hasta 2017. 11 Sistemas heredados, especialmente equipos industriales y de atención médica, que todavía están en
operación y no puede recibir más actualizaciones (parches) también se prevé que se convierta en un
objetivo principal de los ataques de ransomware en el futuro.
Para concluir, el factor crucial para determinar el mejor objetivo del ransomware no es el
tipo de negocio o la naturaleza laboral de un individuo. Los ataques exitosos de ransomware dependen
sobre el tipo de tecnologías utilizadas por la víctima, el nivel de conocimiento de TI, vulnerabilidades
existente en los dispositivos informáticos de la víctima y las redes conectadas, y funcionamiento obsoleto
sistemas y aplicaciones que no pueden recibir más actualizaciones del fabricante, en
Además de la estrategia general de ciberseguridad implementada por la organización.
11 Datto, “Informe sobre el estado global del canal de Datto Ransomware 2018” 14 de febrero de 2019.
https://www.datto.com/blog/dattos-global-state-of-the-channel-ransomware-
informe-2018
25
Page 42
Requisitos de notificación de ataques de ransomware

Hay consecuencias legales sobre cualquier tipo de ciberataque que implique
comprometer los datos personales de un usuario. El primer problema legal que debemos considerar
Los ataques de ransomware son los requisitos de notificación.
Un requisito de notificación depende de la jurisdicción y el tipo de industria. por
Por ejemplo, en los Estados Unidos, todos los estados han implementado leyes de notificación de violación de datos.
Según estas leyes, la entidad víctima (por ejemplo, corporaciones, organizaciones benéficas, educativas
institutos, proveedores de servicios, sitios web sociales o cualquier entidad / sitio web que mantenga personal
información sobre sus clientes / clientes) debe informar a las autoridades de cualquier seguridad
incumplimiento que implica acceder a información de identificación personal (PII) de sus usuarios.
¡Nota! pii es cualquier información que se pueda usar sola o con otra información para
Identificar o localizar a una sola persona. incluye lo siguiente: nombre, seguridad social
número, número de pasaporte, número de identificación nacional, lugar de nacimiento, género, padre y
nombres de madres, registros biométricos o cualquier otro detalle que le pertenezca exclusivamente
y es personalmente identificable.
En los Estados Unidos, la Ley de Responsabilidad y Portabilidad del Seguro de Salud

(HIPAA)12 requiere que cualquier entidad que sufra una violación de datos que haya resultado en el acceso
información de salud del paciente (PHI) para notificar a las personas afectadas, el Secretario de
HHS (Departamento de Salud y Servicios Humanos de EE. UU.) Y los medios de comunicación (por infracciones
que afecta a más de 500 personas) de acuerdo con la notificación de incumplimiento de HIPAA
requisitos De acuerdo con las reglas de HIPAA, una violación se define como "... la adquisición, el acceso,
uso o divulgación de PHI de una manera no permitida bajo la [Regla de Privacidad de HIPAA]
que compromete la seguridad o la privacidad de la PHI ". 13
12 HHS, “HOJA INFORMATIVA: Ransomware e HIPAA” 09 de febrero de 2019.https://www.hhs.gov/

sites / default / files / RansomwareFactSheet.pdf
13 Ver también la Sección 13402 de la Tecnología de Información de Salud para la Salud Económica y Clínica
(HITECH) Ley.
26
Page 43
Cuando un ataque de ransomware resulta en encriptación de salud protegida electrónica

información (ePHI), se considera que ha ocurrido una violación, porque de acuerdo con
La Norma de Privacidad de HIPAA, el cifrado de datos por parte del atacante califica como posesión de este
datos, a pesar de que el atacante no ha visto estos datos. En este caso, lo mismo
las reglas de notificación se aplican como con una violación de datos de PHI.
¡Nota! si el ephi ya estaba encriptado de acuerdo con la Guía

para hacer que la información de salud protegida no asegurada sea inutilizable, ilegible o
indescifrable para personas no autorizadas, 14 entonces no hay necesidad de violación
notificación.
En la Unión Europea, el Reglamento General de Protección de Datos, que fue promulgado

para proteger la privacidad de los ciudadanos de la UE (aplicada el 25 de mayo de 2018), requiere que las empresas
trabajando con los datos personales de los ciudadanos de la UE para informar cualquier violación de datos dentro de las 72 horas. los
las multas impuestas por infringir esta regulación son costosas (4 por ciento del total anual mundial
volumen de negocios, o € 20 millones). 15
A medida que la amenaza del ransomware continúa creciendo y diversificándose, es importante para
empresas que recopilan / manejan información personal de los usuarios para comprender el
informar los requisitos de su jurisdicción en caso de que se produzca una violación de datos para evitar
notificación tardía
14 HHS, “Guía para hacer que la información de salud protegida no asegurada sea inutilizable, ilegible o
Indescifrable para personas no autorizadas ”11 de febrero de 2019. https://www.hhs.gov/hipaa/
para profesionales / notificación de incumplimiento / orientación / index.html
15 Morganlewis, “El ataque cibernético contra el ransomware WannaCry plantea problemas legales” 10 de febrero de 2019.
https://www.morganlewis.com/pubs/wannacry-ransomware-cyberattack-raises-
asuntos legales
27
Page 44
Resumen
El ransomware ha demostrado ser una forma altamente efectiva de ataque cibernético que afecta a ambos
empresas y particulares. En este capítulo, di una definición de alto nivel de ransomware,
su trabajo, sus tipos y cómo es diferente de otros tipos de malware. También hablé sobre
malware informático en general y cómo el malware logra su persistencia y sigilo en
La máquina víctima. Finalmente, cubrí el requisito de notificación impuesto por las leyes en
Estados Unidos y la Unión Europea en relación con la violación de datos.
En el próximo capítulo, hablo sobre cómo el ransomware infecta los sistemas informáticos y
Introducir las etapas de un ataque de ransomware.
28
Página 45
CAPITULO 2
Distribución de ransomware
Métodos
Las actividades de ransomware están aumentando año tras año, con más ataques observados en todo el
mundo. Al parecer, nadie es inmune a tales amenazas. Los autores de malware están continuamente
desarrollando nuevas y sofisticadas variantes de ransomware que puedan evadir la detección y
Emplear nuevas técnicas para infectar más sistemas.
En este capítulo, analizaré los diferentes vectores de ataque empleados por ransomware para
invadir los sistemas informáticos, dejando la discusión sobre medidas preventivas hasta el Capítulo 4 .
El ransomware utiliza las mismas técnicas utilizadas por otros tipos de malware para propagarse, por lo que
comprender las técnicas de distribución de ransomware lo ayudará a mitigar sus riesgos
antes de que invada sus sistemas.
Email
El correo electrónico es la mejor puerta de entrada utilizada por los ciberdelincuentes para difundir ransomware. Investigación
realizado por IBM en 2017 concluyó que el 59 por ciento de los ataques de ransomware provienen de
correos electrónicos de phishing, y el 91 por ciento de todo el malware se entrega a través de sistemas de correo electrónico.1
Los servicios de correo electrónico se pueden utilizar de diferentes maneras para propagar el ransomware (ver Figura 2- 1 ),
principalmente a través de correos electrónicos no deseados y de phishing, como verá a continuación.
El ransomware y otros tipos de malware pueden utilizar un servicio de correo electrónico para propagarse
disfrazándose como un archivo adjunto de correo electrónico. Cuando los usuarios inconscientes descargan y abren
el archivo adjunto malicioso, ransomware infectará el sistema al instante.
Otra técnica para difundir ransomware a través de mensajes de correo electrónico es incrustar enlaces
(URL) a sitios web maliciosos, que contienen ransomware, en el cuerpo del correo electrónico. Cuando los usuarios
haga clic en dichos enlaces, son redirigidos a un sitio web malicioso que a su vez infecta su sistema.
1 Vadesecure, “Ransomware Statistics 2017” 10 de febrero de 2019. https://www.vadesecure.com/

es / ransomware-statistics-2017 /
29
Página 46
CAPÍTULO 2 MÉTODOS DE DISTRIBUCIÓN DE RANSOMWARE
Figura 2-1. Cómo el ransomware infecta los sistemas mediante mensajes de correo electrónico
Los correos electrónicos utilizados con fines maliciosos se denominan correos no deseados o de phishing . Tal
Los correos electrónicos emplean tácticas de ingeniería social para convencer a los destinatarios de descargar / abrir el
adjuntos maliciosos o para visitar los sitios infectados.
Correo basura
El spam, también conocido como correo no deseado, es cualquier correo electrónico no solicitado enviado a una persona o grupo de
destinatarios a través del sistema de correo electrónico. El spam se usa comúnmente en campañas publicitarias
para promociones comerciales; sin embargo, también se puede usar para fines más peligrosos como
como difundir malware o adquirir información confidencial como credenciales de inicio de sesión
e información financiera de las víctimas. El término no solicitado significa los destinatarios
no dieron su permiso para recibir tales correos electrónicos.
Según Statista, el número estimado de correos electrónicos enviados y recibidos por día era
281 mil millones en 2018 y alcanzará 293 mil millones en 2019.2 El hecho interesante es que a partir de
Septiembre de 2018, los mensajes de spam representaron el 53.5 por ciento del tráfico de correo electrónico en todo el mundo. 3
En otras palabras, más de la mitad de todos los correos electrónicos en todo el mundo son spam. Figura 2-2 muestra un
muestra de correo electrónico no deseado para engañar a una víctima para que se comunique más.
2 Statista, "Número de correos electrónicos enviados y recibidos por día en todo el mundo desde 2017 hasta 2022 (en miles de millones)"
10 de febrero de 2019. https://www.statista.com/statistics/456500/daily-number-of-
correos electrónicos en todo el mundo /
3 Statista, https://www.statista.com/statistics/420391/spam-email-traffic-share/
10 de febrero de 2019. https://www.statista.com/statistics/420391/spam-email-traffic-share/
30
Page 47
Figura 2-2. Ejemplo de correo electrónico no deseado que afirma que un destinatario tiene dinero impago y
solicitando más comunicaciones. Puedes ver claramente cómo el atacante intenta
convencer a la víctima de creer que la oferta es cierta
31
48
Existen diferentes tipos de correo no deseado que se pueden clasificar según su contenido.
• Anuncios no solicitados : dichos correos electrónicos se envían en masa y

sin el permiso previo del destinatario para promocionar bienes o servicios
de una entidad comercial específica. Aunque las leyes de todo el mundo
prohibir este tipo de publicidad, todavía es ampliamente frecuente en línea.
• Estafas de phishing : en este tipo, los correos electrónicos no deseados se envían en masa a
un gran número de gente. Un correo electrónico de phishing (ver Figura 2-3)
pretenderá ser genuino (de una fuente confiable) usando
el mismo formato que usa la compañía legítima en su forma formal
comunicaciones además de usar una redacción inteligente para dibujar
La atención de la víctima. El phishing tiene como objetivo recopilar información sensible al usuario
información (como información de inicio de sesión, financiera y crediticia
información de la tarjeta, o incluso datos personales) engañando a una víctima
para entregar la información al atacante o para abrir un
archivo adjunto que contiene malware dentro de él.
• Spear phishing : a diferencia de los correos electrónicos de phishing que se envían en masa,
El phishing es un ataque personalizado que se dirige a un individuo específico,
organización o corporación para robar información confidencial o para
instale malware en la computadora del usuario objetivo.
• Phishing de ballenas : este ataque es similar al phishing de lanza y utiliza

las mismas tácticas, pero difiere en que está dirigido a alto perfil
empleados dentro de las organizaciones (por ejemplo, CEO o CFO) para robar
información confidencial que otros empleados de bajo nivel no tienen
el acceso a los.
• Falsificación de correo electrónico : este es otro tipo de correo electrónico de phishing. Parodia
los correos electrónicos funcionan cambiando el encabezado del correo electrónico (el remitente y el correo electrónico
ID) para que parezca que se originó de una fuente legítima. Destinatarios
están más dispuestos a abrir / descargar archivos adjuntos de correos electrónicos
apareciendo procedente de fuentes legítimas. Similar a otros phishing
tipos, los correos electrónicos falsificados pueden contener archivos adjuntos maliciosos y contener
URL maliciosas para instalar malware en la máquina víctima.
32
Página 49
Figura 2-3. Ejemplo de correo electrónico de phishing para robar información de la cuenta de PayPal. Una vez
una víctima hace clic en el enlace "Actualizar su información", será redirigida a
sitio web falsificado que se muestra en la parte inferior izquierda
Existen otros tipos de phishing, pero todos utilizan tácticas similares para convencer al
víctima para entregar información confidencial o instalar malware sin querer.
Ataques de orificios de riego

Este es otro tipo de ataque personalizado; funciona monitoreando el objetivo en línea
hábitos de navegación para que el atacante sepa qué sitio web visita con frecuencia el objetivo
y luego intenta infectar el sitio web con malware. Una vez que la víctima vuelve a visitar esto
33
Página 50
sitio web, existe una alta probabilidad de que se infecten con el malware. Atacantes
seleccionar sitios web / blogs menos seguros y más vulnerables para plantar su código malicioso
cuando se hace un ataque a un pozo de agua.
Malvertising
También conocido como publicidad maliciosa, en este tipo, los atacantes abusan de la publicidad legal
canales (por ejemplo, Google Adsense) para difundir malware a través de la inyección de código malicioso
anuncios internos y páginas web.
La mayoría de los sitios web grandes externalizan sus actividades publicitarias a un tercero de confianza.
vendedor de fiesta. Los proveedores de terceros a cambio revenderán parte del anuncio.
espacio, permitiendo que otras personas publiquen sus propios anuncios utilizando una plataforma de autoservicio.
Los delincuentes pueden abusar de este servicio para propagar malware.
En la práctica, los anuncios maliciosos pueden aparecer como una ventana emergente que atrae la atención del usuario
haga clic o se puede utilizar para descargar automáticamente cuando una víctima carga la página web
que aloja el anuncio malicioso en un navegador.
Un ejemplo de infección maligna puede funcionar de la siguiente manera:
1. Un atacante compra espacio publicitario en redes de publicidad legal

y páginas web.
2. Un atacante oculta código malicioso dentro de estos anuncios.
3. Cuando la víctima carga la página que contiene el anuncio malicioso, aparecerá

dirigir su máquina a un servidor malicioso o web comprometida
sitio que aloja un kit de exploits.
4. El kit de exploits se ejecuta y comienza a evaluar a la víctima.

máquina para vulnerabilidades. Cuando se encuentra una vulnerabilidad, algunos
El malware está instalado en la máquina víctima.
Kits de explotación
Esta es una de las amenazas en línea de más rápido crecimiento. Los kits de explotación permiten a los cibercriminales
obtener el control total sobre la máquina víctima sin su conocimiento; todo lo que necesitan es
redirige a las víctimas al servidor malicioso que aloja el kit de exploits.
34
51
Un kit de exploit es una plataforma / marco de compromiso basado en la web que permite a los atacantes
para semiautomatizar las explotaciones mediante la evaluación / detección del sistema operativo / aplicación de la víctima
vulnerabilidades y relacionarlas con el repositorio de exploits almacenados dentro del exploit
equipo. Esto permite a los atacantes seleccionar el exploit correcto para la máquina víctima objetivo.
Los kits de exploits se componen de las siguientes partes (ver Figura 2-4):
1. La página de destino : Esta página contiene el código para responsables
evaluando la máquina víctima en busca de vulnerabilidades. Por ejemplo,
escanea el navegador web de la víctima y los complementos instalados para ver
si hay alguna vulnerabilidad que pueda ser explotada.
2. Puerta : la página de destino transfiere a la víctima al segundo

componente del kit de exploit, que es la puerta. La puerta es una pieza
de código que evalúa la máquina de una víctima para decidir si
continuar con el exploit o dejarlo en función de un conjunto de criterios predefinido
por el atacante Por ejemplo, los criterios predefinidos de un atacante pueden
incluir las siguientes condiciones:
• Si el exploit está dirigido al sistema operativo Windows y la víctima actual es

usando Linux, no hay necesidad de continuar con el exploit.
• Algunos atacantes pueden querer propagar ransomware en un

área geográfica (p. ej., Estados Unidos y Canadá solamente). Si el
la víctima visitante es de un país africano, no hay necesidad de
Continuar la hazaña.
• Algunos kits de exploits avanzados verifican si la víctima

la máquina está utilizando tecnología virtualizada (p. ej., un sandbox de navegador
o máquina virtual). En tales casos, el ataque cesará.
3. Explotar : después de que la puerta verifique que la máquina de la víctima esté

vulnerable y está dentro del alcance del ataque, el exploit
ejecutará y usará una aplicación vulnerable (por ejemplo, Adobe Flash,
Java Runtime Environment o Microsoft Silverlight) o un
SO sin parche para ejecutar malware en la máquina de la víctima.
4. Carga útil : después de explotar con éxito la aplicación vulnerable

en la máquina de la víctima, el kit de explotación enviará una carga útil a
hacer el daño real La carga útil puede ser cualquier tipo de malware
o simplemente un descargador que descarga otro malware en el
La máquina de la víctima.
35
Page 52
Ahora que comprende cómo funciona un kit de exploits, necesita saber cómo las víctimas
se dirigen a la página de destino. Las víctimas pueden ser redirigidas a la página de inicio del
kit de explotación utilizando diferentes métodos. Por ejemplo, los delincuentes difunden su código malicioso
a través de anuncios (publicidad maliciosa) o mediante la inyección de la URL maliciosa en la web legítima
sitios como noticias y sitios de compras. Una vez que un usuario visita un sitio web comprometido y carga
su contenido, el usuario será redirigido silenciosamente a la página de inicio del kit de exploits,
resultando en disparar el ataque automáticamente.
Muchos grupos criminales que operan en Darknet ofrecen sus kits de exploits en alquiler.
mensualmente, surge un nuevo vector de infección en el mundo de la ciberseguridad llamado
Kit de explotación como servicio .
Figura 2-4. Cómo funciona un kit de exploits y sus componentes
Los kits de exploits más conocidos actualmente en uso son Angler, RIG-v EK, Fallout EK,
Magnitud y Neutrino.
USB y medios extraíbles

Los ciberdelincuentes todavía usan dispositivos USB para lanzar ataques contra computadoras
sistemas. Aunque los ataques basados en dispositivos USB caen bajo amenazas locales, requieren
atacante para tener acceso físico a la máquina de destino a diferencia de otros tipos de ataques cibernéticos
que apuntan a las computadoras a través de Internet; todavía han aumentado dramáticamente a lo largo del
años debido a la falta de conciencia de ciberseguridad de los usuarios finales.
Existen muchos tipos de malware, especialmente gusanos, que se propagan a través de dispositivos USB
y medios extraíbles. Una vez que una víctima inserta la memoria USB comprometida en una máquina,
el malware se instalará automáticamente. Algunos tipos de malware, como ransomware y
gusanos: pueden propagarse e infectar todas las computadoras conectadas a la misma red.
36
Page 53
Capítulo 2 métodos de distribución de ransomware
Los actores maliciosos usan diferentes métodos para infectar y propagar malware a través de unidades USB.
Por ejemplo, algunos atacantes dejan caer intencionalmente unidades USB cargadas con malware en el
el estacionamiento de la organización objetivo, con la esperanza de que uno de los empleados inserte uno de los
USB infectados en su máquina de trabajo. Un ejemplo de ransomware malicioso propagado a través de
Las unidades USB son el ransomware Spora.
¡Nota! un experimento realizado por la universidad de illinois para medir

La efectividad de un ataque basado en USB concluyó con resultados preocupantes.
los experimentadores de esta universidad dejaron caer 297 unidades flash USB sin etiquetar
El campus universitario. la mayoría de los dispositivos fueron recogidos por la universidad
empleados y estudiantes (98 por ciento), y la mitad de ellos fueron insertados en
trabajo universitario computadoras.4 4
Un famoso ciberataque realizado a través de una unidad USB fue el gusano Stuxnet en 2010.
Este ataque resultó en la instalación de malware en una red nuclear iraní.
Sitios web de contenido pirateado

El malware puede venir incluido con otros programas de software, especialmente aquellos descargados
desde Internet. La infección ocurre cuando instala un programa infectado en su
la máquina y el malware que contiene se instala en silencio en su computadora en el
Mismo tiempo.
Algunos usuarios de computadoras no tienen suficiente dinero para comprar una licencia para
software comercial, por lo que optan por descargar ilegalmente software pirateado de Internet
para ahorrar costos
Programas descargados de sitios web que alojan contenido pirateado (por ejemplo, Torrent web
sitios) vienen asociados con un programa ejecutable llamado Crack, Patch o keygen
para desbloquear la versión de prueba del programa pirateado, haciendo que funcione como la paga. Corriendo
Los programas ejecutables para desbloquear software legítimo son peligrosos, especialmente porque
programa pirateado indica al usuario que apague el software antivirus para evitar conflictos
durante la instalación La mayoría de los ejecutables de Crack, Patch y keygen disfrazan malware, que
se instalará silenciosamente tras la ejecución.
4 Elie, "Los usuarios realmente conectan las unidades usb que encuentran" 10 de febrero de 2019.https://elie.net/
publicación / users-really-do-plug-in-usb-drives-they-find /
37
Page 54
Macros de Microsoft Office

Las macros de Microsoft Office son un conjunto de instrucciones y comandos (considérelos
como programas de mini computadora) escritos usando Visual Basic para Aplicación (VBA) para
Automatizar tareas repetitivas en los programas de la suite Microsoft Office como Excel y Word.
Las macros de Microsoft Office han sido explotadas por actores maliciosos para hacer
acciones (por ejemplo, usando el comando VBA KILL para eliminar archivos) o para instalar malware en
máquinas víctimas. Básicamente, los ciberdelincuentes distribuyen archivos de Microsoft Office en línea con
una macro maliciosa incrustada dentro de ellos, y cuando un usuario abre un archivo infectado, el
macro realiza sus acciones maliciosas en la máquina de la víctima.
Las versiones anteriores de Microsoft Office tienen la función de macro habilitada de forma predeterminada.
Sin embargo, esto plantea un gran riesgo de seguridad. A partir de Office 2003, Microsoft agregó un
nivel de seguridad macro que impide que las macros se carguen automáticamente (consulte la Figura 2-5 ).
Figura 2-5. Mensaje de advertencia de muestra emitido por Microsoft Word 2016 al
abrir un archivo con contenido macro
Un ejemplo de ransomware que infecta máquinas usando la función macro a través de un

El documento de Microsoft Word es el ransomware Locky.
38
Página 55
Ransomware como servicio

Las empresas están cambiando sus operaciones de sistemas operativos y aplicaciones instaladas localmente
a paquetes de software que se ejecutan en la nube. Hay diferentes modelos adoptados por
empresas para lograr esto. Los siguientes son los tres más comunes:
• Software como servicio (SaaS) : acceso y uso de aplicaciones

alojado en la nube a través de Internet. Los ejemplos incluyen Google Apps
para Educación y Microsoft Office 365.
• Infraestructura como servicio (IaaS) : uso de infraestructura de TI remota

en lugar de comprar equipo interno. Ejemplos incluyen
Servicios web de Amazon y Google Computer Engine.
• Plataforma como servicio (PaaS) : normalmente utilizada por los desarrolladores para
Desarrollar aplicaciones en la nube.
Ransomware como servicio (RaaS) adopta un enfoque similar a SaaS pero en el

lado malicioso RaaS es un paquete de software en línea que se vende en mercados subterráneos y /
o foros que utilizan un modelo basado en suscripción. Su objetivo es simplificar los ataques de ransomware para
ciberdelincuentes novatos a cambio de una reducción de los pagos de rescate adquiridos por el
Agentes RaaS.
RaaS es un modelo emergente peligroso que generalmente involucra a tres actores: un malware
autor, un proveedor de servicios y agentes (atacantes). Los autores de malware desarrollan ransomware
código, integrelo en un tablero en línea y preséntelo en venta o alquiler. Ellos también
Proporcionar instrucciones paso a paso sobre cómo lanzar ataques de ransomware para que los delincuentes
sin experiencia técnica puede utilizar este servicio fácilmente.
Los ciberdelincuentes acceden al panel de control de RaaS donde pueden crear un nuevo ransomware
ataque, verifique el estado de los ataques ya lanzados y monitoree los pagos de sus
Ataques exitosos. La mayoría de RaaS adopta un modelo de participación en las ganancias, donde el ingreso final:
generado a partir de pagos de rescate: se divide entre los codificadores de ransomware (autores),
los proveedores de servicios (los que alojan el RaaS) y los cibercriminales afiliados.
Figura 2-6 muestra un ejemplo de proveedor RaaS llamado DataKeeper, donde los atacantes pueden
Personalice la carga útil antes de descargar el archivo final de ransomware. Este servicio es
alojado en la red TOR; acceder a él requiere usar el navegador TOR ( https: // www.
torproject.org/download/download.html ).
39
Page 56
Figura 2-6. Página de compilación DataKeeper RaaS utilizada para crear el ransomware
Conexión de escritorio remoto

Con el crecimiento explosivo de las comunicaciones de Internet en todo el mundo, muchas empresas
externalizar su soporte de TI a empresas de terceros. Estos contratistas pueden estar en el
mismo país o en el extranjero
Para permitir que estos contratistas realicen su trabajo de monitoreo y solución de problemas
Redes de Windows, Windows ofrece una función integrada (también disponible para otros sistemas operativos) llamada
Protocolo de escritorio remoto (RDP) que permite a un usuario reflejar la pantalla, el teclado y
mouse de un sistema remoto en el dispositivo local (ver Figura 2-7) RDP usa el puerto 3389 para
comunicar.
40
57
Los atacantes pueden utilizar la fuerza bruta (explotando contraseñas débiles) y sociales
técnicas de ingeniería para adquirir credenciales de inicio de sesión RDP. Después de adquirir esto
información, el camino se abre a la computadora y la red de la víctima. Perpetradores
puede instalar cualquier tipo de malware (por ejemplo, desplegar ransomware) en la máquina de la víctima en
Además de infiltrarse en la red objetivo.
¡Nota! En un ataque de fuerza bruta, el atacante intenta todas las combinaciones posibles para encontrar
La contraseña / clave correcta.
Figura 2-7. Habilite / deshabilite RDP yendo a Configuración y luego a Sistema (Windows 10)
41
58
¡Advertencia! shodan ( https://www.shodan.io ), un motor de búsqueda para localizar

los dispositivos de internet de las cosas (iot) se pueden usar para localizar clientes expuestos a rDp.
¡Nota! Los ciberdelincuentes están vendiendo puertas traseras y cuentas de PDR comprometidas por
solo $ 10 cada uno. Este mercado es muy activo, y está creciendo, en la Dark Web.
Proveedores de servicios gestionados

Un proveedor de servicios gestionados (MSP) es un proveedor de servicios de TI que ofrece varios
Servicios de TI como soporte remoto para infraestructura de TI, monitoreo de red,
firewall remoto y administración del sistema de detección de intrusos (IDS), dispositivo móvil
gestión, investigación de incidentes de seguridad e incumplimiento, y otros servicios de consultoría
a sus clientes Los clientes de MSP suelen ser pequeñas y medianas empresas que
tiene un personal pequeño y necesita externalizar algunas de sus tareas de TI para reducir gastos. Un
MSP se ofrece en un modelo de suscripción (por ejemplo, mensual, semestral, etc.).
Para realizar su trabajo remoto, los proveedores de MSP deben usar software especializado, similar
a RDP en Windows: para acceder de forma remota a la infraestructura de TI de sus clientes. Secuestro de datos
los operadores han tomado nota de este modelo de servicio y han comenzado a desarrollar métodos para piratear
el servicio MSP para distribuir su ransomware (y otro malware) e instalarlo en todos
clientes MSP objetivo.
Se sabe que la familia de ransomware GandCrab se propaga usando este método. En el
futuro, puede esperar ver más grupos criminales seleccionando este método para distribuir
su código malicioso
Botnets
Ya hablé sobre botnets en el Capítulo 1; una botnet es una máquina comprometida
controlado por un servidor de comando y control (C&C) y utilizado para iniciar, con otros
miles o incluso millones de máquinas comprometidas: ataques DDoS. Por ejemplo,
las botnets pueden explotarse para desempeñar otro papel malicioso, que es la descarga
ransomware o cualquier tipo de malware de su servidor C&C para infectar la computadora que lo aloja
(ver figura 2-8)
42
Page 59
Figura 2-8. Las máquinas infectadas con botnets se pueden usar para propagarse o infectar
ellos mismos con ransomware
Vulnerabilidad de día cero

Las vulnerabilidades de día cero son aquellas que no han sido descubiertas por proveedores o antivirus
software todavía. Estas son vulnerabilidades descubiertas por hackers de sombrero negro y generalmente
encontrado en navegadores web, complementos de navegador o aplicaciones. A veces pueden existir en
El sistema operativo en sí. Los delincuentes explotan tales vulnerabilidades para hacer su mal trabajo (por ejemplo, infectar
computadoras con ransomware) sin temor a que sus ataques sean detenidos por
antivirus y otras soluciones de seguridad. Incluso una hora es suficiente para actores maliciosos
para invadir sistemas con malware.
Falta de entrenamiento
Los ataques de ciberseguridad están ocupando los titulares de los medios internacionales sin signos de desaceleración
abajo. Cada año, muchas organizaciones de alto perfil sufren violaciones de datos que resultan en
exponiendo millones de registros. Diferentes estadísticas e investigaciones encuentran que la falta de seguridad
la conciencia (y la falta de personal calificado) juega un papel clave en exponer a las organizaciones a
diferentes amenazas cibernéticas, especialmente ransomware.
43
60
La conciencia de los empleados sobre la seguridad de TI se considera la primera línea de defensa para proteger
sistemas de información. La capacitación sobre conciencia de seguridad garantiza que los empleados estén al tanto
de las diferentes técnicas de ataque que los ciberdelincuentes pueden emplear para romper
en los sistemas de la organización y que saben cómo mitigar e informar
incidencias a la persona adecuada. Por ejemplo, no importa los tipos y el número de
soluciones de seguridad (p. ej., firewall e IDS) implementadas para asegurar la organización de una organización específica
red, si un empleado inconsciente hace clic en un enlace malicioso dentro de un correo electrónico de phishing,
pondrá en peligro toda la red, haciendo que todas las medidas de protección implementadas por
organización de seguridad del equipo inútil!
En el capitulo 6, discutiremos con cierto detalle los diferentes ángulos de la ciberseguridad
entrenamiento de concientización que debe ser entendido por cualquier usuario de la computadora para defenderse
Ataques ciberneticos.
Etapas de un ataque de ransomware

Hay cinco etapas principales de ataque de ransomware desde el momento en que se instala en el
máquina de la víctima hasta que anuncie su presencia en la pantalla de la víctima. Comprensión
cómo el ransomware infecta los sistemas lo ayuda a evitar sus riesgos.
• Explotación e infección: el ransomware se presenta a la víctima

sistema a través de un correo electrónico de phishing, un kit de explotación o cualquiera de los medios
Ya descrito.
• Entrega y ejecución : si la explotación fue exitosa, la

El ransomware está instalado en la máquina víctima.
• Destrucción de respaldo : el ransomware ahora busca archivos de respaldo

en la máquina víctima y, a veces, en toda la copia de seguridad adjunta
almacenamiento a través de la red y lo destruye para que la víctima no pueda
recuperar su sistema a su estado anterior antes del ransomware
ataque.
• Cifrado de archivos : ahora que el ransomware ha sido exitoso

destruyó los archivos de respaldo de la víctima, comenzará a encriptar
archivos de la víctima. El ransomware establecerá una conexión segura
con su servidor C&C para crear un par de claves de cifrado de esa máquina.
Tenga en cuenta que algunos ransomware pueden hacer esto sin conexión
contactando a un servidor de C&C.
44
Página 61
• Notificación a la víctima y extorsión : el ransomware muestra el

nota de rescate en la máquina de la víctima y exige un pago
dentro de un período de tiempo específico, generalmente tres días. Si la víctima
se niega a pagar, el pago del rescate puede aumentar (esto depende de
la familia de ransomware) y conducen a la destrucción completa de la
datos de rehenes si no se realiza el pago.
¿Por qué el software antivirus no puede detectar ransomware?

Los autores de ransomware siempre intentan mantenerse un paso por delante del malware
defensores empleando varias tácticas modernas para hacer sus programas maliciosos
indetectable por soluciones de seguridad como software antivirus, firewalls e intrusión
Sistemas de detección. Por ejemplo, el ransomware es difícil de atrapar por muchas razones.
• Utiliza redes anónimas como la red TOR para comunicarse

con los servidores de C&C. Esta conexión también está encriptada para evitar
soluciones de seguridad para detectarlo al analizar el tráfico de red.
• Utiliza una técnica de sombreado de dominio para enmascarar las comunicaciones.

entre el ransomware y sus servidores C&C asociados. Dominio
el sombreado se refiere a los atacantes que obtienen acceso no autorizado a
cuentas de nombres de dominio legítimos y luego crear múltiples
subdominios del legítimo y usarlos para pasar su
tráfico malicioso entre ransomware y servidores C&C asociados o
para dirigir a las víctimas a la página de inicio de sus kits de exploits.
• Ransomware puede detectar una máquina víctima para verificar si se está ejecutando
una computadora real o en una caja de arena o máquina virtual; En este último caso,
el ataque de ransomware puede cesar.
• La carga útil del ransomware viene encriptada, lo que hace que sea detectada por
Programas antivirus difíciles.
• Algunas variantes de ransomware emplean un modelo polimórfico para cambiar

su código malicioso, lo que hace que sea detectado por un antivirus tradicional
software que utiliza una metodología basada en firma inviable.
45
Page 62
• El ransomware puede permanecer inactivo durante mucho tiempo en la víctima.

máquina esperando que ocurran algunas condiciones (por ejemplo, hasta encontrar un
aplicación vulnerable a explotar) para comenzar su invasión.
¡Nota! Un estudio realizado por malwarebytes encontró que el antivirus tradicional

los programas no lograron proteger alrededor del 40 por ciento de los usuarios que usan dos o más
soluciones antivirus de todos los ataques de malware. 5 malwarebytes también lanzaron un real-
Mapa de tiempo que muestra las debilidades tradicionales del antivirus en la detección de malware
el mundo. este mapa se puede encontrar en https://www.malwarebytes.com/
mapa de remediación /.
Resumen
El ransomware puede propagarse utilizando diferentes métodos, principalmente mediante el uso del sistema de correo electrónico o
sitios web comprometidos que albergan kits de exploits. En este capítulo, discutí estos métodos
y dio ejemplos de cada uno. Tenga en cuenta que muchas variantes de ransomware y otras
los tipos de malware tienen capacidades de autopropagación; por lo tanto, pueden identificar e infectar a todos
computadoras conectadas a la red de la víctima.
Ahora que tiene una comprensión justa sobre la naturaleza del ransomware y
qué métodos utiliza para infectar sistemas informáticos, hablaremos sobre los más famosos
familias de ransomware y técnicas de ataque de cobertura empleadas por cada familia para
comprometer sus objetivos.
5 Prnewswire, “Nueva investigación: el antivirus tradicional no pudo proteger a casi el 40 por ciento de los usuarios
Uso de dos o más soluciones AV de todos los ataques de malware ”10 de febrero de 2019. https: // www.
prnewswire.com/news-releases/new-research-traditional-antivirus-failed-to-protect-
casi el 40 por ciento de los usuarios que usan dos o más soluciones av de todo malware
ataques-300543625.html
46
Page 63
CAPÍTULO 3
Familias de ransomware
Las cepas de ransomware más destacadas
El ransomware se puede clasificar en grupos usando diferentes criterios, por ejemplo, de acuerdo con
para su función, como si se trata de un casillero o un ransomware de cifrado. Expertos en seguridad
prefieren clasificar el ransomware en familias de acuerdo con su firma de código, que
contiene la secuencia de comandos e instrucciones responsables de la maliciosa
acción. Para este capítulo, mencionaré las familias de ransomware más prominentes y
sus variantes populares según su fecha de lanzamiento y hablan un poco sobre cada una;
más adelante en el libro, daré utilidades de descifrado para cada familia donde estén disponibles.
Ryuk
Ryuk es un cripto ransomware especializado en ataques dirigidos contra empresas que
puede pagar su rescate relativamente grande de Bitcoin (15 BTC a 50 BTC). Primero apareciendo en
Agosto de 2018, Ryuk se conecta al grupo de piratería APT Lazarus, que está asociado
con el ejercito norcoreano. Después de disimilar su código fuente, los investigadores de seguridad
en Checkpoint descubrió que Ryuk comparte muchas similitudes con el ransomware Hermes
presion1 (ambos usan una rutina de cifrado similar) que se descubrió por primera vez en febrero de 2017
y que utiliza campañas de spam y kits de explotación para infectar a sus víctimas.
1 punto de control, "Ryuk Ransomware: un desglose de campaña dirigido" 28 de julio de 2019,

https://research.checkpoint.com/ryuk-ransomware-targeted-campaign-break
47
Página 64
CAPÍTULO 3 FAMILIAS DE RANSOMWARE
En dos meses después de su lanzamiento inicial, Ryuk había adquirido $ 640,000 de rescate de
empresas de todo el mundo; después de cinco meses, el número había aumentado a $ 3.7
millones en Bitcoin.2 Los autores detrás de Ryuk usan una dirección única de Bitcoin para cada
víctima y dividir el dinero del rescate recibido entre diferentes cuentas de Bitcoin antes
lavar el dinero usando diferentes servicios de lavado de Bitcoin para hacer el seguimiento del
Rescate de dinero casi imposible por la policía.
Ryuk se usa principalmente para ataques a medida, donde los atacantes necesitan recolectar técnicas
información sobre la infraestructura de TI de destino antes de lanzar su ataque de ransomware.
A diferencia de la mayoría de las cepas de ransomware, Ryuk necesita privilegios de administrador para ejecutarse en el objetivo
computadora. Muchos ataques reportados que utilizan este ransomware han funcionado explotando el
Protocolo de escritorio remoto (RDP) insuficientemente protegido o por spear phishing para ganar
entrada en una red empresarial. Ryuk puede propagarse a través de la red infectada para
infectar todas las máquinas conectadas, como computadoras, centros de datos, unidades de red y
otros dispositivos de almacenamiento
Ryuk tiene dos versiones para sistemas de 32 y 64 bits, y utiliza AES-256 y RSA-
4096 para cifrar archivos de víctimas. Una vez ejecutado en la computadora de la víctima, eliminará todo
Windows Shadow Copy, lo que hace imposible la recuperación de archivos con dispositivos externos
Copia de seguridad limpia. Ryuk lanza diferentes versiones de una nota de rescate (ver Figura 3-1 ) en el
el escritorio de la víctima y todas las demás carpetas donde se cifran los datos.
2 Thenextweb, "El ransomware Ryuk le gana a los hackers $ 3.7M en Bitcoin durante 5 meses" 28 de julio de 2019
https://thenextweb.com/hardfork/2019/01/14/ryuk-bitcoin-ransomware
48
Página 65
Figura 3-1. Ejemplo de nota de rescate de Ryuk
Ryuk sigue siendo una amenaza activa a partir de este escrito; de acuerdo con la Oficina Federal
de Investigación (FBI), Ryuk lanzó con éxito más de 100 ataques contra
Empresas estadounidenses que operan en diferentes industrias, como logística, tecnología y
asistencia sanitaria, entre agosto de 2018 y mediados de mayo de 2019.3
3 Inteligencia de seguridad, "Más de 100 empresas estadounidenses afectadas por Ryuk Ransomware desde agosto
2018, Finds FBI ”28 de julio de 2019 https://securityintelligence.com/news/more-than-100-us-
empresas-afectadas-por-ryuk-ransomware-desde-agosto-2018-encuentra-fbi
49
Página 66
Quiero llorar
WannaCry (también conocido como Wcry, WNCry, WanaCrypt0r y Wana Decrypt0r) es
crypto ransomware que tiene capacidades de gusano. Se dirige a las computadoras que ejecutan el
Sistema operativo Windows y exige un rescate de $ 300 en la criptomoneda Bitcoin para descifrar
los datos (ver Figura 3-2 ). Los operadores de ransomware amenazan con duplicar el rescate si
no se paga dentro de los tres días; no pagar el rescate dentro de una semana dará lugar a
La destrucción permanente de los archivos infectados. Descubierto por primera vez en febrero de 2017, lo hizo
obtener reconocimiento internacional hasta el lanzamiento de la segunda versión el 12 de mayo de 2017,
cuando una gran campaña golpeó a decenas de países dirigidos a diferentes sectores de la salud
a las telecomunicaciones. WannaCry se propaga explotando un mensaje del servidor de Windows
Vulnerabilidad de bloqueo (SMB) que proporciona acceso sin restricciones a cualquier computadora que se ejecute
Windows WannaCry también puede propagarse entre LAN corporativas automáticamente.
Figura 3-2. Aviso de ataque del ransomware WannaCry
50
Page 67
Capítulo 3 Familias de ransomware
El ataque, que todavía se considera uno de los ataques de ransomware más devastadores.
alguna vez: ha afectado a más de 230,000 computadoras en 150 países y ha costado casi $ 4 mil millones
en pérdidas financieras Muchos países, incluidos los Estados Unidos, el Reino Unido y
Australia ha confirmado que Corea del Norte está detrás de este ataque de ransomware.
¿Cómo se extendió WannaCry?

En abril de 2017, el grupo de piratería llamado Shadow Brokers (TSB) lanzó varios
herramientas de piratería robadas y exploits desarrollados por la Agencia de Seguridad Nacional (NSA) para
apunte a Windows, firewalls y sistemas IDS además de diferentes productos antivirus.
WannaCry aprovecha las vulnerabilidades críticas descubiertas usando estos exploits.
Por ejemplo, EternalBlue, que es un kit de exploits desarrollado por la NSA y lanzado
por el grupo TSB, permite a los cibercriminales difundir WannaCry ejecutando arbitrariamente
código a través de la vulnerabilidad del protocolo SMB en diferentes versiones de Windows como Microsoft
Windows Vista SP2, Windows 7 SP1, Windows Server 2008 SP2 y R2 SP1, Windows 8.1,
Windows Server 2012 Gold y R2, Windows RT 8.1 y Windows 10 Gold 1511, y
1607 y Windows Server 2016. Una vez que una víctima abre el archivo malicioso (por ejemplo, abrir un
adjunto de correo electrónico) que contiene el código de ransomware, WannaCry comenzará a propagarse
a través de todas las LAN conectadas y a otras computadoras a través de Internet, afectando a todos
Las computadoras con Windows sufren de esta vulnerabilidad. WannaCry usa el puerto 445 en el
máquina víctima para instalarse e infectar nuevas computadoras; su servidor C&C está ubicado en
la red TOR. Al infectar una computadora víctima, WannaCry agrega el .WNCRY
extensión a todos los archivos infectados, elimina archivos de Windows Shadow Copy y deshabilita Windows
recuperación de inicio para evitar cualquier recuperación de archivos infectados. En cada carpeta que contiene
archivos cifrados, WannaCry dejará los siguientes archivos instruyendo a la víctima cómo
comportarse para restaurar sus archivos: Please_Read_Me @ .txt, @ WanaDecryptor @ .exe.lnk,
! WannaDecryptor! .Exe.lnk, y! Please Read Me! .Txt.
Servicio de instantáneas de volumen (VSS)
En Windows XP, Microsoft introdujo Vss, que es una aplicación que coordina
la creación de una instantánea consistente de archivos o volúmenes de computadora en un determinado
punto en el tiempo para cada partición donde se activa. Esto permite que Windows
recuperarse si alguno de sus archivos se corrompe por algún motivo.
51
Página 68
Para cerrar esta vulnerabilidad, Microsoft lanzó una actualización de revisión que puede ser
descargado de https://technet.microsoft.com/en-us/library/security/
MS17-010 .
Cerber
Cerber es crypto ransomware que se dirige al sistema operativo Windows; es ampliamente conocido por ser
distribuido a través del modelo de ransomware como servicio (RaaS) donde los desarrolladores toman
El 40 por ciento de las ganancias de rescate adquiridas como una tarifa de sus delincuentes afiliados. Es
considerado uno de los primeros usuarios más destacados del modelo RaaS. Primero apareciendo
en 2016, Cerber infecta computadoras usando vectores de ataque comunes como el phishing
correos electrónicos y kits de explotación (RIG EK, RIG-v, Nuclear Exploit Kit), y viene incluido
software gratuito en línea; sin embargo, Cerber utiliza principalmente archivos maliciosos de Microsoft Office
con macros para extender. Cerber usa tácticas de ingeniería social para convencer a la víctima
para habilitar macros; por ejemplo, el documento abierto podría no mostrarse correctamente,
entonces aparece un mensaje pidiéndole a la víctima que habilite las macros para verlo correctamente
(Ver Figura 3-3 ). Una vez que una víctima abre un documento malicioso de Microsoft Office y
habilita macros, el ransomware comienza a encriptar los archivos de las víctimas utilizando RC4 y RSA
algoritmos y cambia las extensiones de los archivos infectados a .cerber. (Versiones modernas
de Cerber cambia la extensión del archivo infectado a .cerber2, .cerber3 o cuatro al azar
caracteres.) Finalmente, después del cifrado exitoso de la máquina víctima, Cerber muestra
su nota de rescate como fondo de escritorio (ver Figura 3-4 ) y da siete días para el
víctima para pagar el rescate (alrededor de $ 500 a pagar en criptomoneda de Bitcoin); de otra manera,
la cantidad del rescate se duplicará. Se pueden encontrar instrucciones sobre cómo pagar el rescate
en el escritorio de la víctima y en cada carpeta que el ransomware ha encriptado (ver Figura 3-5)
Cerber tiene la capacidad de trabajar sin conexión, lo que significa que desconectar la máquina infectada
desde Internet no detendrá la rutina de cifrado.
52
Página 69
Figura 3-3. Documento malicioso de Microsoft Word usando tácticas de ingeniería social
para convencer a los usuarios de habilitar macros
53
Page 70
Figura 3-4. Aviso de ransomware Cerber
Figura 3-5. Aviso de pago de rescate de Cerbrer
54
Page 71
Existen más de seis variantes del ransomware Cerber. Tras su primer lanzamiento en
Julio de 2016, más de 150,000 computadoras con Windows se infectaron en todo el mundo; al final
En 2016, los delincuentes detrás de Cerber habían adquirido $ 2.3 millones de pagos de rescate.
A diferencia de otros tipos de ransomware, los desarrolladores de Cerber lanzaron una actualización para su
ransomware cada 8.4 días en promedio, agregando más funciones para evadir la detección por
soluciones de seguridad
Locky
Apareciendo por primera vez en 2016, Locky apunta a máquinas basadas en Windows y viene suministrado
con capacidades anti-análisis y anti-sandboxing. Este ransomware tiene la capacidad
para cifrar 160 tipos de archivos, incluidos archivos de código fuente y bases de datos, lo que representa una amenaza real
contra empresas y pequeñas empresas por igual. Locky usa un cifrado RSA-2048 + AES-128
para cifrar archivos de víctimas en todo tipo de almacenamiento, como discos duros locales, discos duros extraíbles
unidades y recursos compartidos de red accesibles. Locky genera sus claves de cifrado en el servidor
lado y mantiene la clave privada de cada máquina víctima allí, descifrando los archivos de la víctima
imposible sin la clave privada.
¡Nota! una variación de locky puede encriptar archivos de víctimas fuera de línea sin comunicarse
con su servidor C&C. (verhttps://blog.avira.com/locky-goes-offline/ .)
La técnica más común utilizada por Locky para infectar sistemas es a través de la recepción
un correo electrónico (disfrazado de recibos de pedidos, avisos de reclamos de ISP o cuenta de Dropbox
verificaciones) con un archivo adjunto malicioso de Microsoft Word; una vez abierto por el
víctima, les pedirá que habiliten macros porque el texto no es legible. Una vez
la víctima habilita macros, el código de macro descargará el código malicioso en el
forma de un descargador y guárdelo en la carpeta% Temp% antes de ejecutarlo. Después de esto,
Locky inicia y comienza a cifrar archivos de víctimas, incluido el archivo de billetera Bitcoin,
junto con sus nombres y toda la red comparte archivos a los que la víctima tiene acceso. los
El daño de Locky no se detiene aquí, ya que escanea e infecta todos los dispositivos conectados (servidores,
computadoras, unidades de red) accesibles para la víctima a través de la red infectada
ya sea que estén ejecutando Windows, Linux o macOS. Locky cambia los archivos infectados '
extensiones a .locky, .zepto, .thor, .asasin, .aesir, .ykcol y otras extensiones
55
Page 72
Según la variante. Locky también elimina archivos de Windows Volume Shadow Copy
evitar cualquier recuperación de archivos. Una vez terminado, mostrará un aviso de rescate sobre la víctima.
computadora de escritorio pidiendo un rescate entre 0.5 y 1 Bitcoin (por un valor de $ 400 en ese momento).
Una variante del ransomware Locky se propagó a través de la mensajería instantánea de Facebook. los
La infección se produjo mediante el uso de un archivo de imagen SVG, que se sabe que permite el contenido dinámico.
Un código JavaScript está oculto dentro de la imagen maliciosa; una vez que el objetivo ha hecho clic, lo hará
dirija el destino al sitio web malicioso que aloja el código malicioso o un kit de exploits.
Hay una alta probabilidad de que el grupo criminal detrás de Locky provenga de Rusia,
ya que este ransomware no ejecutará su ataque contra máquinas ubicadas en Rusia o que tengan
El paquete de idioma ruso instalado.
Petia
Apareciendo por primera vez en 2016, Petya tiene principalmente dos variantes. La primera variante apareció
en 2016, y el segundo moderno apareció en 2017, que se llamaba NotPetya.
La variante 2017 es muy peligrosa ya que tiene efectos irreversibles y puede propagarse.
sin intervención humana. Además, se generan las claves de cifrado de NotPetya
al azar y luego destruido, haciendo imposible la recuperación de datos (tiene un efecto similar
al disco duro limpiando herramientas).
Petya apunta al sistema operativo Windows e infecta el registro de arranque maestro (MBR); luego
sobrescribe el cargador de arranque original de Windows con uno malicioso y realiza
Un reinicio. Luego ejecuta su carga útil y comienza a cifrar la tabla del archivo maestro
(MFT) del sistema de archivos NTFS, lo que hace que Windows no pueda localizar los archivos almacenados.
En el próximo reinicio, Petya evita que Windows arranque y muestra un rescate
tenga en cuenta, en cambio, pedir $ 300 en criptomonedas de Bitcoin para recuperar el acceso a
sistema comprometido
¿Qué es la tabla maestra de archivos?
cada partición ntFs de windows contiene un archivo mFt que maneja la ubicación de
archivos en la partición. el archivo mFt contiene al menos un registro (entrada) para cada archivo
almacenado dentro de la partición ntFs. este registro contiene información importante sobre el
archivo de asunto, incluido su tamaño, permiso, atributos de marca de tiempo y contenido de datos.
56
Page 73
Al igual que otras familias de ransomware, Petya se propaga a través de correos electrónicos no deseados; tambien es
se ofrece como un programa de afiliación utilizando el modelo de ransomware como servicio (RaaS). los
la primera versión de Petya requiere acceso administrativo a una máquina víctima para operar;
sin embargo, otras variantes de la primera versión de Petya instalan otro ransomware llamado
Mischa si no logran obtener privilegios administrativos. El ransomware Mischa cifra
todo en la máquina de la víctima, incluidos los archivos .exe, evitando que la víctima se ejecute
cualquier programa en la máquina infectada. Para cada carpeta que contiene archivos cifrados,
Mischa creará dos notas de rescate llamadas YOUR_FILES_ARE_ENCRYPTED.HTML y
YOUR_FILES_ARE_ENCRYPTED.TXT. En ese momento (2016), Mischa solicitó 1.93 Bitcoins,
que era equivalente a $ 850. Esta fue una gran cantidad de rescate en comparación con otros
familias de rescate. Como con la mayoría de las familias de ransomware, el pago del ransomware Mischa
El sitio está alojado como un servicio oculto TOR.
NotPetya se propaga utilizando los exploits EternalBlue y EternalRomance robados
del arsenal de herramientas de piratería de la NSA. Su primer ataque tuvo lugar en junio de 2017, apuntando
organizaciones importantes en Rusia y Ucrania. Sin embargo, la mayor parte del daño tuvo lugar en el
Ucrania, haciendo que los expertos en seguridad crean que este ataque fue un ruso patrocinado por el estado
ataque cibernetico.
Aunque tiene muchos puntos en común con Petya y se comporta en general como
ransomware, NotPetya se distingue por su daño intencional y su capacidad para
autopropagarse Los expertos en seguridad descubrieron después de analizar su código fuente que NotPetya
fue creado para destruir datos, y su objetivo final no era generar ganancias de
rescates; en cambio, quiere sabotear y destruir los datos almacenados en los sistemas de destino. Esta
De hecho, muchos expertos en seguridad lo clasifican como un "arma cibernética".
¡Nota! el petrwrap ransomware es una versión "no autorizada" de la petya

ransomware desarrollado por el desconocido grupo de hackers. aunque usa mucho de
el código petya, agrega algunos comandos nuevos para operar independientemente del
grupo criminal detrás de petya, que se conoce como secretario Janus.
Sam Sam
El ransomware SamSam, también conocido como Samas, Kazi o RDN / Ransom, es cifrado
ransomware utilizado en ataques dirigidos. Por lo tanto, se utiliza para apuntar a una organización específica
después de realizar algún tipo de reconocimiento contra sus sistemas de TI. Los criminales
57
Page 74
detrás de SamSam comienzan su intrusión mediante el uso de varias herramientas de piratería, kits de explotación y
técnicas de fuerza bruta en una computadora víctima (generalmente el servidor de Internet de la
organización objetivo). Después de eso, aprovechan herramientas legítimas de Windows Sysinternals
( https://docs.microsoft.com/en-us/sysinternals ), herramientas de administración de redes y
otras herramientas de recolección de contraseñas como Mimikatz (https://github.com/gentilkiwi/
mimikatz ) para escanear dispositivos vulnerables y obtener acceso a la organización objetivo
red. Después de que tengan un plan para apuntar a la red de la organización y vulnerable
sistemas, SamSam se implementa en la primera máquina infectada y luego se propaga
a través de la red infectada para encriptar todas las computadoras, servidores y redes conectadas
unidades.
Los primeros ataques registrados de SamSam tuvieron lugar en 2016 (algunas fuentes lo mencionan
comenzando a fines de 2015), y continuó en 2017 después de aumentar la cantidad del rescate.
En 2018, SamSam volvió a alcanzar objetivos de alto perfil, principalmente contra empresas estadounidenses
(p. ej., Hancock Health4 ) y grandes organizaciones del sector público (por ejemplo, la ciudad de Atlanta 5,
y el Departamento de Transporte de Colorado 6) Se cree que muchos privados
Las organizaciones del sector permanecieron en silencio sobre los ataques de SamSam para evitar dañar sus
reputaciones
A diferencia de la mayoría de las familias de ransomware, SamSam no utiliza tácticas de ingeniería social.
tales como correos electrónicos no deseados y phishing para difundir. En cambio, apunta a vulnerabilidades en el servidor
aplicaciones (por ejemplo, principalmente servidores JBoss y FTP) e intenta forzar contraseñas débiles
de cuentas de Protocolo de escritorio remoto (RDP) para obtener acceso a redes corporativas.
En comparación con otras familias de ransomware, SamSam necesita habilidades sofisticadas de piratería
por sus operadores ya que este ataque debe llevarse a cabo manualmente con supervisión directa de
su operador Incluso si una víctima elige pagar el rescate, necesita ejecutar el desencriptador
ofrecido por el atacante manualmente en cada máquina afectada localmente para restaurar los archivos a su
estado original
4 Greenfieldreporter, “El hospital paga un rescate de $ 55,000; sin datos de pacientes robados ”, 26 de febrero de 2019,
http://www.greenfieldreporter.com/2018/01/16/01162018dr_hancock_health_pays_
rescate/
5 Zdnet, "Atlanta proyecta gastar al menos $ 2.6 millones en recuperación de ransomware", 26 de febrero,
2019, https://www.zdnet.com/article/atlanta-spent-at-least-two-million-on-
recuperación-ataque-ransomware
6 Denverpost, "El ataque cibernético en las computadoras CDOT se estima que ha costado hasta $ 1.5 millones hasta ahora"
26 de febrero de 2019 https://www.denverpost.com/2018/04/05/samsam-ransomware-cdot-cost/
58
Página 75
La mayoría de los ataques de SamSam se lanzan temprano en la mañana o después de la medianoche (del
zona horaria local objetivo) cuando se espera que los administradores de TI estén dormidos o sean administradores junior
están de guardia Una vez instalado en la máquina víctima, comienza a buscar todas las copias de seguridad en
la computadora local y todos los recursos compartidos conectados, busca instantáneas de volumen de Windows
(el servicio de copia de seguridad incorporado de Windows) y elimina todo para evitar que una víctima
recuperando sus archivos. SamSam utiliza el cifrado RSA-2048 para cifrar los archivos de las víctimas.
SamSam exige un alto rescate para manejar la clave de descifrado. Por ejemplo, el
El hospital Hancock Health pagó 4 Bitcoins (equivalentes a $ 55,000 en ese momento) para recuperar
acceso a sus datos. El grupo criminal detrás de SamSam ha generado alrededor de $ 6 millones
desde su primer ataque. 7 los rescates de SamSam se pagan a través de Bitcoin. El tiempo de espera para
pagar el rescate es de siete días; después de eso, el rescate aumenta.
Los delincuentes detrás de SamSam lo desarrollan continuamente para evadir la detección. los
La cantidad de rescate también está aumentando dramáticamente, y la cantidad de rescate adquirido en
el pasado ha ayudado a los operadores de SamSam a invertir más tiempo y recursos para emplear
Técnicas más sofisticadas en su diseño, difusión, ataque e implementación que solo tienen
visto en ataques de espionaje. No hay signos de desaceleración del ransomware SamSam
ataques en el futuro, lo que lo convierte en una amenaza grave, especialmente para las organizaciones estadounidenses.
¡Nota! los delincuentes detrás de samsam se centran en atacar la asistencia sanitaria

organizaciones, tal vez porque piensan que son más fáciles de atacar y son
más dispuestos a pagar el rescate debido a la sensibilidad de los registros de pacientes.
DMA Locker
Este es otro ransomware de cifrado que golpeó el sistema operativo Windows, apareciendo primero en el
principios de 2016. Se sabe que el ransomware DMA Locker se propaga principalmente a través de
el protocolo de Conexión a Escritorio remoto además de otros métodos tradicionales.
Una vez instalado en la máquina víctima, detiene todas las aplicaciones utilizadas para copias de seguridad y
Cifra los datos mediante el cifrado AES sin agregar ninguna extensión a los archivos cifrados.
En cambio, agrega una firma en el encabezado de cada archivo infectado para reconocerlo. DMA
Locker exige 2 Bitcoin (DMA versión 2 y DMA versión 3 solicitaron 4 Bitcoin,
7 Sophos, "SamSam: El (casi) ransomware de seis millones de dólares", 26 de febrero de 2019,

https://www.sophos.com/en-us/medialibrary/PDFs/technical-papers/SamSam-The-Almost-
Six-Million-Dollar-Ransomware.pdf
59
Page 76
mientras que la versión 4.0 solicitó 1 BTC) como rescate para manejar la clave de descifrado. El DMA
La nota de rescate del casillero muestra instrucciones paso a paso sobre cómo pagar el rescate. UN
La característica distintiva de este ransomware es su capacidad para descifrar archivos de víctimas a través de
característica incorporada disponible dentro de la nota de rescate (ver Figura 3-6 ).
Figura 3-6. DMA Locker versión 2.0 nota de rescate que muestra el pago paso a paso
instrucciones
¿QUÉ ES UNA FIRMA DE ARCHIVO (ENCABEZADO)?
la mayoría de los archivos digitales tienen una firma ubicada en los primeros 20 bytes del archivo; esta firma puede
se puede ver abriendo el archivo de asunto usando el bloc de notas de Windows o cualquier otro editor de texto como
notepad ++ (https://notepad-plus-plus.org ). Por ejemplo, tenemos un archivo de imagen
llamado diala.jpg; si abrimos el archivo JpG usando un editor hexadecimal (estoy usando el editor hxD, que usted
puede descargar desde www.mh-nexus.de) e investigue sus primeros 20 bytes, debería ver el
firma asociada con el tipo de archivo JpG (ver Figura 3-7)
60 60
Page 77
Figura 3-7. Investigar encabezado de firma de archivo
Del mismo modo, DMA Locker inserta su propia firma en el encabezado de los archivos infectados.
para distinguirlo
DMA Locker cifra todo en la máquina de destino, excepto los ejecutables y
Archivos del sistema de Windows (tiene una lista blanca de carpetas y extensiones de archivo excluidas de
cifrado) y agrega claves de ejecución automática en el registro de Windows para la persistencia a través de
reinicia Después de la infección, la computadora de la víctima permanece operativa y puede pagar
rescate a través de él. DMA Locker tiene la capacidad de encriptar recursos compartidos de red e incluso
recursos compartidos de red sin asignar. La primera versión de DMA Locker genera un cifrado
clave para todos los archivos que encripta en la máquina víctima; sin embargo, los nuevos lanzamientos
(a partir de la versión 2) de este ransomware, cree una nueva clave AES aleatoria para cada
archivo infectado y luego encriptar la clave generada aleatoriamente utilizando el algoritmo RSA.
CriptaXXX
Otro ransomware de cifrado dirigido al sistema operativo Windows apareció por primera vez en abril de 2016;
fue arrojado por el caballo de Troya Bedep, que a su vez se extendió a través del pescador
kit de explotación (EK). Esta familia de ransomware no solo cifra los archivos de las víctimas; también se ejecuta
otro malware que roba información (el módulo DLL StillerX, que también puede ser
implementado como una herramienta independiente) para robar Bitcoins y otra información (por ejemplo, correo electrónico
61
78 de 1189.
las contraseñas de los clientes, las contraseñas del navegador web, las credenciales de VPN y las cookies) de
computadora de la víctima y enviarlos de regreso a sus operadores a través de su servidor C&C. Algunos
Los investigadores de seguridad concluyen que el grupo detrás de CrypXXX es el mismo grupo que
conducía el ransomware Reveton debido a las muchas similitudes entre ellos.
La primera versión de CryptXXX encripta archivos de víctimas usando el algoritmo RSA-4096
y agregó la extensión .crypt al nombre del archivo, mientras que las versiones más nuevas adoptan diferentes
comportamientos con respecto a nombrar archivos de víctimas. Por ejemplo, algunas variaciones no se agregan
cualquier extensión a archivos cifrados, mientras que otros agregan diferentes extensiones (por ejemplo, .cryp1,
.crypz, o una cadena aleatoria) y cambie el nombre del archivo completo a algo nuevo. CryptXXX también
tiene capacidades anti-sandboxing y anti-análisis y solicita un rescate relativamente alto
($ 500) a través de Bitcoin. Deja tres tipos de archivos léame (de_crypt_readme.bmp, de_
crypt_readme.txt, de_crypt_readme.html) en la máquina víctima para alertar al propietario
sobre la infección y dar instrucciones sobre cómo pagar el rescate (ver Figura 3-8 ).
Figura 3-8. CryptXXX nota de instrucciones de pago de rescate (archivo léame)
62
Página 79
CryptXXX versión 2.0 niega el acceso a la máquina víctima al bloquear la pantalla con
La alerta de rescate.
Se informa que una variación de CryptXXX llamada UltraCrypter tiene errores importantes con su
diseño del sistema de pago, ya que este sistema no pudo proporcionar el desencriptador para las víctimas
después de pagar el rescate.8
En la versión CryptXXX 3.100, los desarrolladores detrás de CryptXXX cambiaron su distribución
al kit de exploits Neutrino. Esta versión ha sido actualizada para incluir más capacidades
como una capacidad de escaneo de red para buscar y cifrar recursos compartidos en el
Dominio de Windows y redes de Active Directory de Windows. El portal de pago también fue
actualizado y se conecta directamente a un sitio web alojado en la red TOR.
CryptoWall
CryptoWall es el sucesor del obsoleto ransomware CryptoLocker. CryptoWall
es un ransomware de encriptación que se dirige a máquinas basadas en Windows; se propaga a través de
correos electrónicos no deseados maliciosos, kits de explotación como Nuclear y Angler, y publicidad maliciosa
campañas Se cree que CryptoWall fue desarrollado por los mismos grupos criminales.
detrás de Cryptolocker, CryptoDefense, BitCrypt y Cryptorbit. Una vez ejecutado en el
máquina víctima, CryptoWall escribe sus propias claves de registro de ejecución automática en el registro de Windows
para mantener su persistencia a través de reinicios. Luego busca todos los puntos de restauración del sistema
y Volume Shadow Copy y los destruye para evitar que la víctima restaure
cualquier archivo Luego comienza a encriptar archivos usando el algoritmo de encriptación RSA-2048. Rescate
los archivos de notas tienen nombres diferentes para cada variante y se colocan en el sistema infectado
utilizando diferentes formatos de archivo como HTML, TXT, URL y PNG. Estos archivos se abrirán
automáticamente en la máquina víctima después de una infección exitosa. Por ejemplo, CryptoWall
1.0 coloca los siguientes archivos en la máquina víctima: DECRYPT_INSTRUCTION.HTML,
DECRYPT_INSTRUCTION.TXT y DECRYPT_INSTRUCTION.URL. Versión 4.0 de CryptoWall
coloca los siguientes archivos: NSTRUCTIONS_47987A1B78.html, INSTRUCTIONS_47987A1B78.
png e INSTRUCTIONS_47987A1B78.txt (los números en cada nombre de archivo son únicos
para cada máquina infectada.) CryptoWall utiliza el canal TOR para comunicarse con su
servidor de comando y control alojado en la red TOR. (Una variante usó el I2P
red anónima en lugar de TOR; sin embargo, fue descartado después de un corto tiempo).
8 Bleepingcomputer, “UltraCrypter no proporciona claves de descifrado después del pago. Lanzamientos

Mesa de ayuda ”, 26 de febrero de 2019, https://www.bleepingcomputer.com/news/security/
Ultracrypter-no-proporcionando-descifrado-claves-después-pago-lanza-mesa de ayuda /
63
80
¿QUÉ ES LA RED I2P ANONYMOUS?
i2p es una red de anonimato alternativa a tor, y admite actividades comunes de internet
tales como navegación web, alojamiento de sitios web de correo electrónico, intercambio de archivos y chat en tiempo real.
A diferencia de tor, cuyo enfoque es acceder a sitios web desde Internet normal además de
Hospedaje de sitios web anónimos conocidos como servicios tor (tiene la extensión de dominio .Onion), i2p
está más dirigido hacia el acceso a un Internet anónima cerrada, también conocido como una red oscura ,
separado del internet normal. i2p protege las comunicaciones de la vigilancia de redes de arrastre y
seguimiento por parte de diferentes terceros (gobiernos, isps, etc.). cualquiera que ejecute i2p puede ejecutar un
servidor anónimo a través de un llamado eepsite , al que solo se puede acceder dentro de las redes i2p
utilizando el dominio de nivel superior .i2p.
Puede obtener I2P y obtener más información al respecto en su sitio web oficial ( https: // geti2p.
net / es /)
CryptoWall ha evolucionado con el tiempo y ahora tiene seis variantes principales. La primera variante
apareció en noviembre de 2013 y fue un clon completo del ransomware CryptoLocker
en términos de texto e interfaz gráfica de usuario. La segunda variante llegó en febrero de 2014.
y fue nombrado CryptoDefense. Sin embargo, un error en su implementación de criptografía que
hizo posible restaurar archivos de víctimas obligó a sus operadores a detener esta variante.
En marzo de 2014, los desarrolladores de CryptoWall lanzaron su primera versión "oficial" que lleva
Su nombre actual. CryptoWall 1.0 (ver Figura 3-9) es una versión moderna de CryptoDefense
eso corrige sus errores anteriores, haciéndolo más robusto para atacar sistemas. Sin embargo, un defecto
en su función de eliminación hace posible recuperar archivos de copia de seguridad de víctimas eliminados mediante el uso
software de recuperación y otras técnicas forenses digitales, ya que el ransomware no era
sobrescribir los archivos de copia de seguridad eliminados. En cambio, los eliminó usando la API de Windows
La función DeleteFile y los datos eliminados utilizando dicha técnica se pueden recuperar más adelante si el
La máquina víctima tiene suficiente espacio en el disco al momento de la infección. Ver figura 3-10 para el
Modelo de comunicación CryptoWall 1.0.
64
Página 81
Figura 3-9. Nota de rescate de CryptoWall versión 1.0
sesenta y cinco
Page 82
Figura 3-10. Modelo de comunicación de CryptoWall 1.0
En cada nueva versión, los operadores de CryptoWall intentaron superar las deficiencias en el
versión anterior y agregar nuevas funcionalidades. Por ejemplo, CryptoWall versión 2.0 usa un
conexión directa a la red TOR, donde se encuentra su servidor C&C, sin pasar
El tráfico a través de un servidor proxy. CryptoWall 3.0 utiliza un C&C alojado en el I2P anónimo
red en lugar de TOR como el canal de conexión entre la máquina víctima y el
La conexión de C&C fue directa sin utilizar ningún servidor proxy.
CryptoWall 4.0 volvió a usar el mismo modelo de comunicación de la versión 1.0 con
una pequeña modificación, ya que inserta una capa proxy adicional (un script PHP alojado en un
sitio web comprometido) entre la máquina víctima y el servidor Privoxy.
Resumen
En este capítulo, arrojo luz sobre las familias de ransomware más comunes según
hasta su fecha de descubrimiento y dio una breve información técnica sobre cada familia.
Por supuesto, hay muchas otras familias de ransomware, pero en este capítulo, me concentré
en los mas notables. Para descubrir más familias de ransomware, consulte
Mesa 3- 1, que enumera las familias de ransomware de acuerdo con los pagos recibidos de Bitcoin.
Estas estadísticas fueron tomadas de un estudio titulado "Ransomware en el ecosistema de Bitcoin" 9
y cubren el período de 2013 a mediados de 2017.
9 Econinfosec, "Pagos de ransomware en el ecosistema de Bitcoin", 26 de febrero de 2019,https: //

weis2018.econinfosec.org/wp-content/uploads/sites/5/2018/05/WEIS_2018_paper_21.pdf
66
Page 83
Tabla 3-1. Pago recibido por familia de ransomware (2013–2017)10
Familia Direcciones BTC Dólar estadounidense
chiflado 6.827 15,399.01 7.834.737
CriptaXXX 1,304 3.339,68 1,878,696
Dmalockerv3 147 1.505,78 1,500,630
Sam Sam 41 632.01 599,687
Cryptolocker 944 1.511,71 519,991
Globeimposter 1 96,94 116,014
quiero llorar 66 55,34 102,703
Cryptotorlocker2015 94 246,32 67,221
apto 2 36,07 31,971
noobCrypt 17 54,34 25,080
Globo 49 33,03 24,319
Globev3 18 años 14,34 16,008
eDa2 23 7.1 15,111
notpetya 1 4.39 11,458
Como puede ver, diferentes familias de ransomware usan los mismos vectores de infección
para extenderse Actualmente, el correo electrónico malicioso y los kits de explotación son los principales métodos utilizados
por los operadores de ransomware para difundir. También tenga en cuenta que la mayoría de las familias de ransomware usan
el sistema de criptomonedas de Bitcoin para recibir pagos de rescate y alojar sus
servidor de comando y control en la darknet TOR. Las principales diferencias entre
Las familias de ransomware son el algoritmo de encriptación utilizado para encriptar los archivos de las víctimas.
y el monto del pago del rescate.
A medida que los autores de malware continúan su esfuerzo para escribir código malicioso avanzado
y trabajar para desarrollar nuevos métodos de difusión, puede esperar ver ransomware futuro
familias con más capacidades para evadir la detección, propagarse automáticamente a otros
10 Gosecure, "Próxima presentación de WEIS: pago de ransomware en el ecosistema de Bitcoin"
26 de febrero de 2019, https://gosecure.net/2018/06/18/ransomware-payment-in-the-
ecosistema bitcoin /
67
84
redes e incluso infectar dispositivos IoT como relojes inteligentes, televisores inteligentes y dispositivos médicos
dispositivos. Hasta entonces, el conocimiento adquirido al comprender los comportamientos, en
términos del vector de infección, modelos de comunicación y cómo se propagan
las familias de ransomware implementadas actualmente lo ayudarán a comprender y defenderse de
las nuevas familias de ransomware que aparecerán en el futuro.
Ahora que conoce la historia del ransomware, sus familias principales y cómo infecta
e infiltrarse en los sistemas, la gran pregunta es, ¿qué pueden hacer las empresas y los individuos para
proteger contra esta amenaza emergente? Entrenamiento de seguridad cibernética mejorado y múltiples
capas de defensa de seguridad son claramente parte de la respuesta, y esto es lo que cubro en el
segunda parte de este libro
68
Page 85
PARTE II
Mitigación
Estrategias de ransomware
86
CAPÍTULO 4
Defensa de punto final

Estrategias
Cómo proteger los puntos finales de los ataques de ransomware
Los ataques de ransomware pueden afectar a casi cualquier tipo de dispositivo informático, pero los dispositivos de punto final
Todavía recibimos la mayor cantidad de incidentes de ransomware. Desde los primeros días de la
Internet, la seguridad de las computadoras de punto final siempre se ha considerado la primera línea de
defensa contra ataques de malware (aparte de firewalls y software antivirus).
Endpoint security es un término utilizado para describir todas las tecnologías utilizadas para proteger endpoint
dispositivos (o dispositivos de usuario final) de ataques cibernéticos. Asegurar dispositivos de punto final es una clave para
proteger la red de toda una empresa de ataques maliciosos, como un compromiso
El punto final proporciona puntos de entrada para que los actores malintencionados hagan su mal trabajo.
Asegurar los puntos finales no se limita a instalar soluciones antivirus como algunas personas
puede pensar Varias tareas se consideran elementos importantes para formar un punto final.
estrategia de defensa, como configurar y fortalecer los sistemas operativos, actualizar y
parchear sistemas operativos y aplicaciones instaladas regularmente, configurando políticas de uso que controlan
qué aplicaciones / scripts pueden ejecutarse, implementando una prevención de pérdida de datos (DLP)
solución, implementando una política de clasificación de datos, utilizando cifrado de archivos y disco completo,
y utilizando tecnología de sandboxing. Optimizar su defensa de punto final lo ayudará
para reducir la superficie de ataque cibernético tanto como sea posible además de proteger su
red y datos de ataques dirigidos y persistentes.
En este capítulo, te enseño cómo optimizar tu dispositivo informático para que se convierta
más resistente a los ataques de ransomware. También cubro diferentes métodos para reducir el ataque.
superficie de ciberataques contra dispositivos de punto final, centrándose principalmente en ransomware
amenazas Tenga en cuenta que hay muchas soluciones de seguridad de puntos finales comerciales en el
mercado, y tales soluciones vienen incluidas con herramientas de seguridad ricas como anti-malware,
71
Page 87
CAPÍTULO 4 ESTRATEGIAS DE DEFENSA FINAL
cortafuegos, protección de correo electrónico, antispam, asesores web, control de aplicaciones, control de dispositivos,
administración remota y la capacidad de aplicaciones de sandbox para una seguridad completa. yo
no recomendará ningún producto específico, ya que puede considerar la protección de seguridad
elementos y contramedidas mencionados en este libro como una lista de verificación de características para cualquier
producto que pretendes tener.
La capacitación en concientización sobre ciberseguridad es un elemento importante en cualquier defensa de punto final
estrategia; aprende más sobre esto en el Capítulo6 6.
¡Nota! Los dispositivos de punto final son cualquier dispositivo informático compatible con Internet, como
computadoras de escritorio, computadoras portátiles, teléfonos inteligentes, tabletas, dispositivos de Internet de las cosas (IoT),
impresoras u otro hardware especializado como terminales de punto de venta (PoS) y
contadores inteligentes.
Instalar soluciones de seguridad

El software antivirus todavía se considera la primera línea de defensa contra el ransomware
ataques a dispositivos de punto final. El término antivirus (AV) se refiere al programa de computadora
responsable de detectar y eliminar infecciones de malware.
Hay muchas soluciones antivirus gratuitas; sin embargo, carecen de lo necesario
características para prevenir ataques avanzados de malware como el ransomware. El antivirus principal
Las suites vienen con un firewall incorporado y otras protecciones de seguridad como
antispam y antiphishing, que agrega una capa adicional de defensa para prevenir el malware
infecciones
¡Nota! No es recomendable instalar dos productos antivirus en una máquina; esta

puede conducir a problemas de incompatibilidad. En un entorno corporativo, es habitual ver
más de una solución AV, con un tipo instalado en las puertas de enlace del servidor y otro
escriba en dispositivos de punto final.
Para seleccionar la mejor solución antivirus para proteger contra ransomware, primero debe
Comprender las diferentes técnicas de detección empleadas por los productos antivirus para detectar
y bloquear el malware.
72
Page 88
Técnicas de detección de antivirus

Actualmente, los proveedores de antivirus utilizan cinco métodos principales para detectar, bloquear y
eliminar software malicioso
Detección basada en firma

Este es el enfoque más antiguo utilizado en productos antivirus para detectar malware. Con este
enfoque, el proveedor de antivirus descubre el malware primero y luego crea un único
firma para este tipo de malware. (La firma es una cadena única de bits similar a un
huella digital que distingue las características de un archivo específico.) Después de eso, la firma es
probado para asegurarse de que se pueda utilizar con éxito para capturar este tipo de malware. Finalmente,
el proveedor de antivirus envía la nueva firma a sus clientes para que actualicen a su cliente
lista de definiciones de antivirus. Esta técnica de detección todavía se usa ampliamente para el hogar tradicional.
soluciones antivirus Sin embargo, no puede detectar completamente los tipos de malware avanzados que usan
técnicas de código polimórfico o encriptado para evadir la detección.
Análisis de comportamiento
En la detección de comportamiento, el programa antivirus intenta identificar el malware observando
sus comportamientos, como si está modificando el sistema desempacando código malicioso, eliminando
archivos, cambiar el contenido del archivo "host" del sistema operativo, monitorear las pulsaciones de teclas o intentar
para conectarse con un servidor remoto en línea. Tales indicadores pueden disparar una alarma o bloquear el
atacar antes de que continúe.
¡Nota! Un archivo host del sistema operativo es un archivo de texto del sistema que existe en todos los principales
oSs y se usa para asignar nombres de dominio a sus direcciones IP asociadas. A pesar de que
fue reemplazado por el sistema de nombres de dominio (dnS) hace mucho tiempo, todavía
disponible en OS modernos como un método alternativo para la resolución de nombres de dominio. En
Windows, se puede encontrar en% SYSTEMDRIVE% \ Windows \ System32 \ drivers \
etc \ hosts. Algunos tipos de malware modifican el archivo host de oS para redirigir lo que no se sabe
usuario a un sitio web falso en lugar del legítimo.
73
Page 89
Detección basada en heurística

En este tipo de detección, el programa antivirus utiliza diferentes reglas y algoritmos para
analizar su código fuente para descubrir cualquier intento malicioso. El examen del código
la estructura se puede hacer ejecutando un proceso simulado del malware sospechoso para ver
cómo se comporta si se ejecuta. Según la prueba, la solución antivirus puede clasificar el
código fuente como un programa malicioso o legítimo.
La principal desventaja de la detección heurística es el número de alertas falsas positivas;
Por lo general, clasifica muchos archivos legítimos como sospechosos.
Detección basada en la nube

Como su nombre lo indica, en la detección basada en la nube, el archivo sospechoso se envía al antivirus
infraestructura en la nube del proveedor para analizarlo en lugar de hacerlo localmente. Basado en la nube
la detección reduce la sobrecarga de procesamiento en la máquina del usuario final y la desplaza a la
motor de nube; sin embargo, el cliente antivirus instalado localmente todavía necesita usar uno o más
de las técnicas de detección anteriores (firma, comportamiento y heurística) para capturar
archivos sospechosos antes de enviarlos a la nube para su análisis. La principal ventaja de
La detección basada en la nube es su capacidad para descubrir nuevas amenazas más rápidamente, ya que puede beneficiar
de los resultados de escaneo de otros usuarios; Además, es menos costoso que comprar un paquete completo
conjunto de antivirus La principal desventaja es su dependencia de la conectividad a Internet para realizar
sus deberes
Sandboxing
En la detección de sandbox, el programa antivirus ejecutará el archivo sospechoso en un virtual
entorno donde no se puede hacer daño a la máquina host cuando se verifica
comportamientos y clasificarlo en consecuencia.
¿Cuál es el mejor para mí?

La mayoría de los proveedores de antivirus usan más de un método de detección para buscar malware. por
Por ejemplo, los productos antivirus confiables de punto final que usan detección basada en la nube usan una combinación
de métodos basados en firmas, comportamiento y heurísticos para identificar archivos sospechosos. Sobre el
Por otro lado, los productos antivirus modernos dependen en gran medida de la heurística y el análisis del comportamiento.
para proteger las computadoras del malware. El método de detección de sandbox necesita tiempo para
identificar archivos sospechosos, por lo que generalmente se usa en máquinas de servidor.
74
Página 90
Antes de comprar un producto antivirus, asegúrese de que ofrezca las siguientes características principales:
• Capacidades antimalware, antispam y antiphishing
• Un escáner USB para escanear dispositivos USB en busca de amenazas de malware
• Actualizaciones regulares instaladas automáticamente
• Integración con los principales programas de cliente de correo electrónico como Microsoft
Outlook y Mozilla Thunderbird para analizar el correo electrónico entrante / saliente
tráfico y filtrado de correos electrónicos no deseados
• Incluido con un firewall personal
• Protección contra manipulaciones para que el malware no pueda detenerlo sin el conocimiento del usuario.
• Una función de protección DNS
Además de todas estas características, su producto antivirus elegido debe provenir de un

Empresa importante y de buena reputación. Los grandes vendedores de antivirus tienen más recursos para descubrir cero
ataques diarios que los vendedores más pequeños.
¡Advertencia! La protección antivirus por sí sola no es efectiva contra los ataques de ransomware.
Tener un programa antivirus no es una solución 100% efectiva para detener
Secuestro de datos. Los ataques anteriores han demostrado que incluso con el despliegue de más
de una solución antivirus, las corporaciones aún pueden ser infectadas por ransomware.
¡Nota! ¿Por qué las soluciones antivirus tradicionales no pueden detectar el ransomware de manera efectiva?
El correo electrónico de phishing es el principal vehículo de ataque del ransomware. Este ataque usa
tácticas de ingeniería social para convencer a los usuarios desprevenidos de descargar y abrir
archivos adjuntos maliciosos para infectar su máquina con ransomware. De hecho, los humanos
son el eslabón más débil, y el ransomware depende en gran medida de los errores humanos para infectar
y difundir. Esto no se puede detener sin una adecuada conciencia de ciberseguridad
capacitación para que los usuarios puedan conocer las últimas amenazas cibernéticas y
métodos de infección
75
Page 91
Actualizar SO y aplicaciones instaladas

Mantenga su sistema operativo y sus aplicaciones actualizadas y no use software descontinuado
productos Su sistema operativo debe estar configurado para actualizarse automáticamente; Adicionalmente,
navegadores web instalados, junto con sus complementos instalados y programas antivirus
ambos deberían actualizarse automáticamente.
El uso de un sistema operativo no compatible es muy arriesgado; por ejemplo, Microsoft ya no
proporcionar actualizaciones de seguridad o soporte técnico para Windows XP y Vista. Windows 7 lo hará
sígalos el 14 de enero de 2020. Los sistemas operativos no compatibles pueden contener agujeros de seguridad que
no debe ser parcheado por su fabricante y, en consecuencia, puede ser explotado por piratas informáticos para
evitar la defensa antivirus y cortafuegos para infectar la máquina de destino y, en consecuencia, el
red conectada con malware.
Incluso si está utilizando un sistema operativo compatible que recibe actualizaciones, está en riesgo si su
la actualización no funciona y las actualizaciones de seguridad no se instalan correctamente por algún motivo (por ejemplo, un
El sistema operativo pirateado no instalará las actualizaciones periódicas correctamente).
Para configurar Windows (aplicable a Windows 7 y 8) para instalar actualizaciones
automáticamente, vaya al Panel de control y seleccione Sistema. En la parte inferior izquierda, haz clic en Windows
Actualizar. En el lado izquierdo, haga clic en "Cambiar configuración" y en el menú desplegable, seleccione
"Instalar actualizaciones automáticamente (recomendado)" (ver Figura 4-1)
Figura 4-1. Configurar Windows 8 para instalar actualizaciones automáticamente (aplicable

a Windows 7 también)
En Windows 10, las actualizaciones automáticas están habilitadas de forma predeterminada.

Como viste en el capítulo 2, un kit de exploits es un método popular utilizado por los cibercriminales
infectar un sistema con ransomware. Después de dirigir al usuario desprevenido al sitio web
Al alojar el kit de exploits, el ransomware ejecutará y utilizará una aplicación vulnerable, como
Adobe Flash, Java Runtime Environment (JRE) o Microsoft Silverlight, o un parche sin parchar
Sistema operativo para ejecutar malware en la máquina víctima. Para evitar que un kit de explotación explote
aplicaciones vulnerables, debe asegurarse de que todas las aplicaciones instaladas sean actuales.
76
Página 92
Esto se puede lograr automáticamente mediante el uso de un programa de actualización de software que mantiene todo
sus programas instalados (y otras herramientas de terceros) actualizados a la última versión. los
Los siguientes son algunos actualizadores de software gratuitos para ayudarlo en esta tarea:
• Parchear mi PC (https://patchmypc.com/homeupdaterdownload)
• OUTDATEfighter ( https://www.spamfighter.com/OUTDATEfighter/
Download_Download.asp )
• Actualizador de software ( https://www.softwareupdater.com/

descargar.php )
Finalmente, no debe olvidar actualizar el firmware de su dispositivo, especialmente el

dispositivos de red como enrutadores y conmutadores.
Tecnología de virtualización
El uso de la tecnología de virtualización permite al usuario proteger su máquina del ransomware
y otras amenazas de malware. Al usar una máquina virtual, un usuario puede ejecutar programas,
abrir archivos adjuntos de correo electrónico, descargar e instalar programas de Internet y visitar
sitios web comprometidos de forma segura sin tener miedo de infectar su sistema operativo
con malware, ya que la máquina virtual se ejecutará en una caja de arena aislada completamente de su host
sistema operativo de la máquina. Las máquinas virtuales populares incluyen VirtualBox (https: //
www.virtualbox.org) y VMware Workstation Player ( www.vmware.com/products/
player / playerproevaluation.html)
¡Nota! Un método alternativo para ejecutar un sistema operativo completo en una máquina virtual es
para congelar su sistema operativo, haciéndolo inadmisible a cualquier cambio. Toolwiz Time freeze
(http://www.toolwiz.com/lead/toolwiz_time_freeze) es una herramienta simple
para hacer restauraciones instantáneas del sistema. Al activar el modo de congelación de tiempo, todo el
El sistema se ejecutará dentro de una caja de arena. Cualquier cambio realizado al sistema o al usuario
los archivos almacenados se descartarán al reiniciar; solo los archivos en la lista de exclusión
retener sus actualizaciones (ver figura 4-2)
77
Página 93
Figura 4-2. Toolwiz Time Freeze activado con una carpeta en la lista de exclusión
Navegación web segura

Los navegadores web son su ventana a la web. Los usuarios de Internet usan navegadores web para socializar,
realizar compras en línea, descargar software o enviar correos electrónicos. Obviamente, esto hace web
Los navegadores son un objetivo preferido utilizado por los ciberdelincuentes para atacar a sus víctimas.
¡Nota! Los principales vectores de ataque del ransomware son correos electrónicos, kits de explotación, programas
descargado de Internet y sitios web de redes sociales. Todos estos recursos
generalmente se accede mediante navegadores web.
Al igual que con las máquinas virtuales, puede usar la tecnología de sandboxing para separar
programas como navegadores de Internet, clientes de correo electrónico y otros programas de mensajería instantánea de
sistema operativo subyacente ejecutando dichos programas dentro del software sandbox. En esto
así, puede asegurarse de que no se realizarán cambios no deseados en sus datos personales y
SO y programas instalados, y también puede navegar por sitios web sospechosos de forma segura, incluyendo
los prohibidos por la solución antivirus instalada, sin tener miedo de ningún tipo de
infección de malware Los clientes de correo electrónico también pueden ejecutarse dentro del entorno limitado, lo que permite a un usuario
78
Page 94
abra archivos adjuntos de correo electrónico que no sean de confianza sin temor a infectarse con malware.
Además, ejecutar programas dentro de una aplicación de sandbox consumirá menos
recursos informáticos (procesamiento y memoria) en comparación con la ejecución de un sistema operativo completo en el interior
Una máquina virtual. Hay muchos programas de sandbox. Shade Sandbox (https: // www.
shadesandbox.com ) es una aplicación de sandbox confiable y gratuita para el sistema operativo Windows (consulte la Figura 4-3)
Figura 4-3. Uso de la aplicación Shade Sandbox para ejecutar localmente virtualizado
aplicaciones
¡Nota! Las familias avanzadas de ransomware pueden detectar un entorno virtual para evitar
detección y análisis. Aunque la detección de un entorno virtual se considera un
característica
operadores deavanzada de algunas
ransomware cepassu
para detener deinvasión.
ransomware, esta característica
por ejemplo, una prueba sede
puede usar contra
concepto
experimento realizado por McAfee encontró que emular un entorno virtual en
79
Page 95
la máquina ordinaria (física) puede protegerlo de algunos tipos de ransomware

ataque (por ejemplo, la familia de ransomware Locky). El experimento encontró que el malware
no se ejecutó y la máquina emulada no estaba infectada.1
Si desea aislar sus actividades de navegación del host subyacente oS sin
instalando cualquier software en su máquina, entonces puede elegir WEBgAP. WEBgAP es
un servicio en línea que utiliza el modelo de ciberseguridad de aislamiento del navegador para físicamente
aislar el navegador web de un usuario de Internet y su actividad de navegación lejos del
máquina local y red (ver figura 4-4)
Figura 4-4. Uso del servicio de aislamiento del navegador WEBGAP para navegar por la Web de forma segura
1 Mcafee, "Detención de malware con una máquina virtual falsa" 20 de abril de 2019.
https://securingtomorrow.mcafee.com/other-blogs/mcafee-labs/
máquina virtual de detención de malware falso
80
Page 96
Bloquear redireccionamiento de página web

Detener las redirecciones de páginas web en un navegador web lo mantendrá a salvo de sitios corruptos y
enlaces maliciosos Todos los principales navegadores web se pueden configurar para evitar redirecciones de
sucediendo. En esta sección, demuestro cómo configurar Firefox para evitar la página web
redireccionamientos.
Firefox tiene protección contra phishing y malware incorporada; esta característica funciona marcando
los sitios web visitados y los programas / archivos descargados contra una lista de enlaces maliciosos
compilado de sitios web de phishing y otros sitios conocidos por contener malware. Listas de Firefox
se actualizan cada 30 minutos al habilitar esta función; si un usuario intenta descargar
algo de un sitio web listado como malicioso, Firefox bloqueará la descarga
inmediatamente. Para habilitar esta función, haga lo siguiente:
1. Abra Firefox, haga clic en el botón de menú en la esquina superior derecha y

elija Opciones
2. En la página de opciones de Firefox, haga clic en el enlace Privacidad y seguridad en el

panel izquierdo.
3. En la sección Permisos, asegúrese de que las siguientes configuraciones sean

habilitado: "Bloquear ventanas emergentes" y "Avisarle cuando los sitios web
intente instalar complementos ”(consulte la Figura 4-5 ).
Figura 4-5. Deshabilitar ventanas emergentes en Firefox
81
Page 97
4. La siguiente configuración que debe habilitar es "Bloquear peligroso y

contenido engañoso ”(ver Figura 4-6 ); lo puedes encontrar en la Seguridad
sección.
Figura 4-6. Habilitar la protección contra phishing y malware en Firefox
Finalmente, cierre Firefox y vuelva a abrirlo para que los cambios surtan efecto. Para probar esta función,
ir al sitio de prueba de malware en http://itisatrap.org/firefox/its-an-attack.html .
Firefox debe bloquear el sitio y mostrar un mensaje de advertencia (consulte la Figura 4-7 ).
Figura 4-7. Ejemplo de advertencia de sitio engañoso al visitar un sitio de phishing lanzado
por Firefox
82
98
Complementos del navegador web

Hay muchos complementos de seguridad del navegador web que pueden ayudarlo a aumentar su línea
privacidad y puede ser beneficioso para prevenir ataques de ransomware (p. ej., bloqueo malicioso
anuncios y ventanas emergentes que pueden redirigirlo a sitios web comprometidos). por
Por ejemplo, siempre animo a los usuarios a utilizar software de código abierto para garantizar el máximo
seguridad al trabajar en línea. Mozilla Firefox todavía se considera el único verdadero abierto
navegador de origen de los principales navegadores de escritorio que dominan el mercado hoy, así que lo haré
mencione los complementos de seguridad para este navegador (aunque otras versiones de los mismos complementos
están disponibles para los principales navegadores web como Google Chrome y Opera).
• Privacidad Badger (https://www.eff.org/privacybadger): Bloques

espiar anuncios y rastreadores invisibles.
• HTTPS en todas partes ( https://www.eff.org/https-everywhere):

Cifra las comunicaciones con los principales sitios web, haciendo que su
Navegación más segura.
• NoScript (https://noscript.net ): permite JavaScript, Java, Flash,

y otros complementos para ser ejecutados solo por sitios web confiables que son
seleccionado por el usuario. La configuración de este complemento lleva un poco de tiempo, ya que
detiene todos los scripts de forma predeterminada, por lo que el usuario debe especificar todos los sitios
ellos confían; sin embargo, una vez que está en funcionamiento, ofrece una mejora
seguridad contra diferentes amenazas en línea.
• Origen de uBlock (https://addons.mozilla.org/en-US/firefox/

addon / ublock-origin): Bloqueador de anuncios de uso general (bloquea anuncios,
ventanas emergentes y rastreadores) con reglas personalizadas establecidas por el usuario.
¡Advertencia! Tenga en cuenta que algunos proveedores de complementos pueden engañar a los usuarios y recopilar
datos privados sobre hábitos de navegación e incluso información personal sin su
consentimiento, por lo que es aconsejable verificar la reputación del desarrollador antes de instalar
cualquier extensión del navegador e instálela desde https://addons.mozilla.org
exclusivamente.
83
Page 99
Defender contra los kits de exploit

Los kits de exploits necesitan un punto de entrada para comenzar su acción maliciosa. El punto de entrada suele ser
una aplicación vulnerable o un SO sin parchear. Asegurarse de que su sistema operativo esté actualizado y todo
las aplicaciones instaladas y otros complementos de terceros se actualizan a la última versión
debería protegerte de la mayoría de los ataques lanzados a través de kits de exploits. Por supuesto, esto
no se aplica a las vulnerabilidades de día cero, que son casi imposibles de detener.
Deshabilitar macros en archivos de Office

Las macros de Microsoft Office usan la programación de Visual Basic para Aplicaciones (VBA)
lenguaje para realizar algunas tareas avanzadas y repetitivas en Microsoft Office
suite, especialmente en Excel y Word, para aumentar la productividad del usuario. Esta característica puede ser
explotado para instalar ransomware en la máquina del usuario desprevenido. Las macros son por
predeterminado deshabilitado en ediciones recientes de Microsoft Office; asegúrese de no habilitarlos
en documentos descargados de Internet o recibidos por correo electrónico de
fuentes no confiables
La mayoría del ransomware se entrega a través de Microsoft Office en las macros recibidas
a través de correos electrónicos no deseados. Para contrarrestar este riesgo, abra cualquier archivo de Office enviado por correo electrónico utilizando
Programas de visor de Office o usando el visor en línea de Google Docs (https://www.google.
com / docs / about) en lugar de ejecutar dichos archivos con el paquete completo de Office.
Deshabilitar Windows Script Host

Windows Script Host (WSH) es un lenguaje de script que viene asociado con la mayoría
Versiones del sistema operativo Windows desde 98. Un script WSH generalmente tiene una extensión .vbs y está escrito
en VBScript de manera predeterminada, aunque se pueden usar otros idiomas como JavaScript y
Perl. Los scripts WSH pueden automatizar cualquier tarea normal realizada por Windows. Esto es útil,
pero trae serios problemas de seguridad cuando son explotados por actores maliciosos para crear scripts
que ejecutan / descargan ransomware u otras cargas útiles de malware cuando tienen menos experiencia
los usuarios ejecutan la secuencia de comandos sin darse cuenta (por ejemplo, hacen clic en secuencias de comandos maliciosas enviadas por correo electrónico
adjunto archivo).
84
Página 100
Para contrarrestar los riesgos de seguridad asociados con WSH, es recomendable deshabilitar esto
característica en todos los dispositivos de punto final y en servidores cuando el sistema no lo utiliza de forma intensiva
administradores Para deshabilitar la funcionalidad WSH para el usuario actual, siga estos pasos:
1. Abra el Editor del Registro de Windows presionando Windows + R
teclas y luego escriba regedit.
2. Navegue a HKEY_CURRENT_USER \ Software \ Microsoft \ Windows

Script Host \ Configuración \.
3. Cree una nueva clave REG_DWORD haciendo clic derecho en el panel derecho,
seleccionando Nuevo, seleccionando DWORD, nombrándolo Habilitado , y
asignándole un valor de 0 (ver Figura 4-8)
Figura 4-8. Crear una nueva clave DWORD para deshabilitar la función WSH para
usuario actual
Para asegurarse de que funciona correctamente, cree un nuevo archivo de texto, cambie su extensión a .vbs,
e intenta ejecutarlo. Debería aparecer un mensaje emergente diciendo que el acceso está deshabilitado (ver
Figura 4-9)
85
Page 101
Figura 4-9. Un mensaje de advertencia al intentar ejecutar un script VBS cuando el WSH
la función está deshabilitada
Para restaurar la funcionalidad WSH, simplemente elimine la clave de registro habilitada (o cambie su
valor a 1).
Use una cuenta con menos privilegios

Pocas cepas de ransomware necesitan privilegios administrativos para funcionar correctamente, como la mayoría
las familias de ransomware confían en el nivel de privilegio del usuario actualmente conectado para hacer su
trabajo malicioso Sin embargo, usando una cuenta de usuario con pocos privilegios (Windows lo llama
Cuenta estándar) todavía se considera una contramedida importante contra diferentes
tipos de ataques de malware. Por ejemplo, una cuenta de usuario limitada no puede instalar programas
o realizar modificaciones importantes al sistema operativo (por ejemplo, agregar o modificar claves de registro).
Además, algunas cepas de ransomware (por ejemplo, la familia Ryuk) necesitan privilegios de administrador para ejecutarse
y comenzar su trabajo. Como ya sabes, el malware es un programa informático malicioso,
lo que significa que se aplica la misma restricción al infectar a un usuario con
privilegios Muchos estudios muestran que el uso de una cuenta limitada ayudará a limitar la mayoría del malware
infección.
¡Nota! El 94 por ciento de las vulnerabilidades de Microsoft se pueden mitigar mediante el uso de un
Cuenta de usuario limitada estándar. 2
2 Computerworld, “el 94% de las vulnerabilidades de Microsoft pueden mitigarse fácilmente” 20 de abril de 2019.
https://www.computerworld.com/article/3173246/94-of-microsoft-vulnerabilities-
can-be-easy-mitigated.html
86
Page 102
¡Propina! Al usar su computadora para navegar por Internet, crear / editar Microsoft
archivos de Office, o abrir archivos adjuntos de correo electrónico, siempre es recomendable utilizar un
cuenta de privilegio de Windows (la cuenta estándar). Esta táctica detendrá diferentes tipos de
el malware infectará su máquina y evitará el cifrado moderno ransomware
de eliminar Volume Shadow Copies (cuando el servicio VSS está habilitado). Por lo tanto, puedes
restaurar los archivos cifrados de VSS Snapshot después de una infección de ransomware.
Para configurar una cuenta de usuario estándar en Windows 10, abra la Configuración de Windows y seleccione
Cuentas Luego seleccione "Familia y otras personas" en el panel izquierdo y haga clic en "Agregar a alguien
más a esta PC "(ver Figura 4-10)
Figura 4-10. Crear una nueva cuenta de usuario en Windows 10 (versión 1803)
87
Page 103
Aparece el nuevo Asistente de creación de usuario. Seleccione "No tengo el inicio de sesión de esta persona
información "y seleccione" Agregar un usuario sin una cuenta de Microsoft ". Ahora ingrese un nombre de usuario
y contraseña y responda las tres preguntas de seguridad necesarias para recuperar su cuenta
en caso de que olvides la contraseña. Haga clic en Siguiente y ya está.
Para cambiar el tipo de cuenta actual de Windows, vaya a Configuración, seleccione Cuentas y
seleccione "Familia y otras personas" en el panel izquierdo. Ahora en el panel derecho, debajo de "Otro
personas ", seleccione la cuenta que desea modificar y haga clic en" Cambiar tipo de cuenta ".
tiene dos opciones: Administrador y Estándar (ver Figura 4-11)
Figura 4-11. Cambiar el tipo de cuenta en Windows 10
88
Página 104
A partir de Windows Vista, Microsoft introdujo el Control de cuentas de usuario (UAC).

Esta es una característica de seguridad que evita cambios no autorizados en el sistema operativo.
sin el consentimiento del usuario Dichos cambios pueden ser activados por aplicaciones, usuarios, ransomware
(que necesita privilegios administrativos) u otras formas de malware. Aparecen avisos de UAC
cuando intente realizar alguna modificación en los archivos del sistema operativo y muestre el nombre del programa intentando
para hacer este cambio; si el usuario activo tiene una cuenta de administrador, la solicitud de UAC
se verá similar al de la figura 4-12 . Si el usuario desea que los cambios surtan efecto,
necesitan hacer clic en Sí.
Figura 4-12. Solicitud de UAC en Windows 7 para un usuario con cuenta de administrador
privilegio que quiere ejecutar un instalador
Para cambiar el UAC en Windows 10, vaya al Panel de control y seleccione Seguridad y
Mantenimiento en el lado izquierdo. Seleccione Cambiar configuración de cuenta de usuario en la nueva ventana
y mueva el control deslizante hacia arriba a "Notificar siempre" (consulte la Figura 4-13 ).
89
Page 105
Figura 4-13. Cambiar la configuración de UAC en Windows 10 (también aplicable a

Windows 8.1 y 8)
Aunque el malware moderno puede evitar ese UAC e infectar el sistema sin
activar un aviso de UAC, habilitarlo, especialmente para usuarios con privilegios de administrador, aún puede
probar beneficioso en muchos casos.
No instale software pirateado

Muchos usuarios de Internet tienden a instalar software pirateado para ahorrar costos y descargarlos.
de redes de intercambio de archivos punto a punto (por ejemplo, Torrent). Programas pirateados usualmente
viene incluido con un programa ejecutable llamado Crack, Patch o Keygen para desbloquear
la versión de prueba del programa pirateado y hacer que funcione como la versión paga. El pirateado
El software puede ser un ransomware disfrazado que se instalará silenciosamente al ejecutarlo.
90
Page 106
¡Nota! Un estudio de f-Secure descubrió que el ransomware WannaCry, que explota

una falla en el Bloque de mensajes del servidor (SMB) en Microsoft Windows, infectó un gran
Número de máquinas en China y Rusia. Esto fue porque una gran cantidad de
los usuarios en esos dos países estaban usando copias pirateadas de Windows oS que
No se pudieron recibir actualizaciones periódicas. Esto hace que el problema persista incluso después de
Microsoft ha parcheado la vulnerabilidad.3
Seguridad de memoria USB

Infectar computadoras con malware usando memorias USB es un método de infección antiguo.
Aunque de alguna manera ha perdido su novedad en estos días ya que los usuarios ahora dependen mucho de
servicios en la nube para transferir datos, este vector de ataque todavía es utilizado activamente por maliciosos
actores para difundir malware. Si la unidad flash USB está infectada con ransomware, la víctima
no solo corre el riesgo de dañar los archivos almacenados en la máquina activa; ransomware moderno
Las cepas se propagarán automáticamente para infectar todos los dispositivos conectados en la misma red.
¡Nota! El famoso malware Stuxnet fue entregado a la planta nuclear iraní

usando una memoria USB infectada.
Se recomienda encarecidamente que evite enchufar dispositivos USB no confiables en su

máquina de trabajo o doméstica, especialmente las que se encuentran en lugares públicos. Si quieres ver
el contenido de una memoria USB sospechosa, asegúrese de abrirla en un dispositivo desconectado
máquina con una cuenta de privilegios limitados (la cuenta de usuario). Su programa antivirus
debe escanear los dispositivos USB automáticamente antes de montarlos; siempre consulte a
lista de características antivirus para tal capacidad antes de comprarla.
3 F-Secure, “Lo que hay que saber sobre WannaCry Ahora” 20 de abril de, año 2019.https: // blog.
f-secure.com/what-you-need-to-know-about-wannacry-now
91 91
Page 107
¡Advertencia! Recomiendo no enchufar dispositivos USB no confiables en su computadora

¡en absoluto! Incluso si ha seguido todos los pasos de precaución en este libro, algunos
los tipos de malware avanzados vienen codificados dentro del firmware USB, y esta área
no se puede acceder ni escanear mediante soluciones antivirus. Las unidades USB maliciosas pueden
traer daños permanentes a su hardware. por ejemplo, USB Killer es una memoria USB
que envía 220 voltios una vez conectado a una máquina víctima, freír su hardware y
haciéndolo inútil.4 4
Evite los cargadores de teléfonos públicos

En un ataque cibernético, un actor malicioso puede obtener acceso a su dispositivo móvil.
dispositivo informático (teléfono inteligente, tableta o computadora portátil) cuando se usan las salidas de carga públicas
que existen en muchos lugares públicos. El riesgo no se limita a obtener acceso no autorizado
a su dispositivo, ya que el actor malicioso puede inyectar malware (p. ej., ransomware) en su
dispositivo que puede extenderse más tarde a otros dispositivos cuando conecta su dispositivo a su hogar
o red corporativa.
Tener un banco de energía portátil con usted para cargar su dispositivo móvil cuando
necesario es una contramedida para esta amenaza.
Cambiar extensiones de archivo importantes

Este truco puede ser efectivo para prevenir el daño causado por muchos tipos de cepas de ransomware;
por ejemplo, el ransomware WannaCry busca y cifra extensiones de archivo específicas
como archivos de Microsoft Office (por ejemplo, .doc, .docx, .xls, .xslx, .ppt, .pptx, .etc), diferentes
tipos de archivos de copia de seguridad (por ejemplo, .zip, .rar, .bakcup, .bak) e imagen / video populares
formatos de archivo. Al cambiar las extensiones de sus archivos importantes a algo arbitrario, usted
Puede evitar muchos tipos de ransomware. Por ejemplo, si su copia de seguridad se almacena como myfiles.
copia de seguridad, cambie la extensión a cualquier otra cosa (por ejemplo, ¡su apellido!).
4 Dailymail, “El asesino de gadgets: la unidad USB puede freír instantáneamente todo, desde su televisor hasta su
computadora enviando 220 voltios a través de ellos ”20 de abril de 2019 https://www.dailymail.co.uk/
sciencetech / article-3272862 / The-USB-drive-instant-FRY-TV-computer-shipping-220-
volts-them.html
92
108
Seguridad de dispositivos móviles

Los dispositivos móviles, especialmente los que ejecutan el sistema Android, son un objetivo principal para
ataques de ransomware. Las siguientes medidas de seguridad pueden ayudarlo a fortalecer su
Defensa del dispositivo móvil contra ataques de ransomware:
• Evite rootear su dispositivo. Esto le dará acceso de administrador y

exponga sus archivos del sistema operativo a modificaciones maliciosas.
• Asegúrese de que el sistema operativo del dispositivo y las aplicaciones instaladas estén actualizadas.
• Siempre instale aplicaciones de una fuente confiable (por ejemplo, Google Play para
Android y Apple Store para dispositivos Apple). Tiendas de aplicaciones de terceros
puede ser arriesgado
• Evitar la instalación de aplicaciones de fuentes desconocidas.
• Conceder acceso a Google para escanear su dispositivo Android en busca de riesgos de seguridad.
• Al igual que los correos electrónicos recibidos en su computadora de escritorio o portátil, asegúrese de evitar
haciendo clic en enlaces sospechosos en correos electrónicos o mensajes SMS.
• Instale una solución de seguridad móvil dedicada para proteger su dispositivo

del malware
• Al instalar una nueva aplicación, verifique qué permisos necesita.
• En un entorno corporativo, asegúrese de configurar una lista negra de

aplicaciones no permitidas
• Haga una copia de seguridad de los datos de su dispositivo móvil en un dispositivo de almacenamiento externo sin conexión
continuamente.
Haga una copia de seguridad de sus datos

El malware, los errores del usuario y los bloqueos de la computadora pueden poner en riesgo sus valiosos datos
hora. Por ejemplo, la única forma de restaurar sus datos sin pagar un rescate después de un
El ataque de ransomware es tener una copia de seguridad de sus datos infectados.
93
Page 109
Este capítulo cubre el punto final de las contramedidas contra el ransomware

ataques, por lo que como usuario debería considerar tener una buena copia de seguridad de todos sus datos importantes
a medida que se modifican, y también debe considerar desconectar el almacenamiento de respaldo
medios (disco duro externo, memoria USB, cinta magnética) de la máquina y de
cualquier otro dispositivo en red una vez que finalice la copia de seguridad. Siempre revise sus archivos de respaldo
para asegurarse de que sean accesibles en el dispositivo de respaldo en caso de que los necesite de repente.
Finalmente, no confíe únicamente en la copia de seguridad del almacenamiento en la nube. Por ejemplo, si configura su
máquina para hacer una copia de seguridad de sus archivos importantes en la nube y un ataque de ransomware golpeó su
máquina, los datos respaldados pueden sobrescribirse con la nueva versión que está infectada
y encriptado por el ransomware.
En esta sección, enumeraré diferentes soluciones de respaldo que un usuario puede implementar para hacer
seguro de que sus datos cruciales siempre permanecen seguros.
Función de copia de seguridad de Windows

Windows tiene una utilidad incorporada dedicada para hacer una copia de seguridad de sus datos en medios externos. A
acceda a la utilidad de copia de seguridad en Windows 10, presione Windows + I, seleccione Actualización y seguridad, y
seleccione Copia de seguridad. Desde aquí tienes dos opciones:
• Use la utilidad Historial de archivos para hacer una copia de seguridad de sus carpetas importantes, como
como Escritorio, Contactos y Favoritos, a un medio extraíble o a
Una ubicación de red. También puede configurar la utilidad Historial de archivos
agregar / eliminar carpetas adicionales a la rutina de respaldo predeterminada por
haciendo clic en "Más opciones" (ver Figura 4-14)
94
Page 110
Figura 4-14. Uso y configuración de la copia de seguridad integrada de Windows 10
• También puede usar la antigua utilidad de Copia de seguridad y restauración (Windows 7) para
crear una imagen completa del sistema de su unidad de Windows (y todo personal
archivos almacenados dentro de él) o para restaurar archivos de copias de seguridad de imágenes del sistema
creado en ediciones anteriores de Windows. Tenga en cuenta que si usted
tiene una copia de seguridad de la imagen del sistema, no puede restaurar archivos individuales
de eso.
95
Página 111
Copia de seguridad de terceros

Si prefiere utilizar software de respaldo de terceros, aquí hay dos opciones gratuitas:
• Copia de seguridad de Comodo ( https://www.comodo.com/home/

backuponlinestorage / backupfirsttimesetup.php ): Comodo
es una herramienta de respaldo gratuita que es fácil para usuarios ocasionales de computadoras; utilizando
Comodo Backup, puede hacer una copia de seguridad de los datos en una unidad local, en óptica
medios como un disco CD / DVD / BD, a una carpeta de red, a un disco externo
unidad o a un servidor FTP; o los datos se pueden enviar a un destinatario a través de
correo electrónico. La copia de seguridad se puede dividir en partes y proteger con un
contraseña. Recuperar datos es fácil y solo necesita unos pocos clics.
• Cobian Backup ( www.cobiansoft.com/cobianbackup.htm): Esta

es un programa multiproceso gratuito (incluso para uso comercial) que
puede usarse para hacer una copia de seguridad de sus archivos, directorios o incluso completar
conduce a otra ubicación en la misma computadora local o
otro en tu red. La copia de seguridad FTP también es compatible
en ambas direcciones (descarga y carga). El respaldo resultante
el archivo se puede dividir en varias partes y proteger con un
contraseña para seguridad adicional.
Habilite la función de instantáneas en Windows

Volume Shadow Copy (también conocido como Volume Snapshot Service [VSS]) es una copia de seguridad
tecnología disponible en Windows a partir de Windows XP. Las copias de seguridad tomadas
El uso de VSS se denomina instantáneas y el sistema puede crearlas automáticamente
o manualmente por el usuario. Estas instantáneas se pueden almacenar en un disco duro local o en
Almacenamiento de medios extraíbles. Es muy recomendable habilitar esta función en su Windows
máquina (especialmente en el volumen que contiene sus datos personales). Para hacerlo, sigue
Estos pasos (aplicables a Windows 7/8/10):
1. Abra el Panel de control de Windows.
2. Vaya a Sistema.
3. En el lado izquierdo, seleccione Protección del sistema.
4. Aparece la ventana Propiedades del sistema; seleccione el sistema

Pestaña de protección.
96
112
5. Seleccione una unidad y haga clic en Configurar.
6. Seleccione "Activar la protección del sistema". En Windows 7, esta opción es

llamado "Restaurar la configuración del sistema y las versiones anteriores de los archivos".
7. Haga clic en Aplicar y luego en el botón Aceptar (ver Figura 4-15 ).
Figura 4-15. Habilitar la función de instantáneas de volumen en Windows 7/8/10
La característica VSS es una buena característica de respaldo que permite a los usuarios de Windows ejecutar un silencio
servicio de respaldo mientras usa su computadora a plena capacidad. Sin embargo, tenga en cuenta que
VSS no está destinado a reemplazar la rutina de copia de seguridad de datos regular que debe configurarse para
ejecutar con frecuencia para hacer una copia de seguridad de sus datos importantes en una ubicación segura externa.
¡Propina! Para enumerar las instantáneas VSS disponibles en su máquina o recuperar un archivo específico o
carpeta de un antiguo punto de restauración de Windows, puede usar una de estas dos herramientas:
• ShadowCopyView (http://www.nirsoft.net/utils/shadow_
copy_view.html) enumera todos los puntos de restauración de su disco duro creados
por el servicio Volume Shadow Copy de Windows y le permite
extraer archivos / carpetas de cualquier instantánea (ver figura 4-16 ).
97
113
Figura 4-16. Uso de ShadowCopyView para enumerar / ver el contenido de los puntos de restauración existentes
en Windows
• ShadowExplorer (www.shadowexplorer.com) puede navegar por viejos

restaurar el contenido del punto (instantáneas VSS) y extraer archivos individuales /
carpetas de ella.
¡Advertencia! Las cepas modernas de ransomware de cifrado eliminan Volume Shadow Copies
instantáneas en la máquina víctima. recuperar instantáneas eliminadas no siempre es
posible y requiere el uso de herramientas sofisticadas como la que se usa en digital
examen forense.
Configure Windows para combatir mejor el ransomware

El endurecimiento de los clientes y servidores es esencial para limitar la superficie de ataque de ambos
y fuentes externas. El proceso de endurecimiento de un cliente de Windows es diferente de un
Servidor de Windows, porque se usan en un contexto completamente diferente. En esta sección,
Doy consejos sobre cómo fortalecer una máquina Windows independiente. En el próximo capítulo, doy
consejos esenciales para implementar controles de seguridad en un contexto de entorno corporativo.
98
114
Mostrar extensiones de archivo

Las extensiones de archivo están ocultas por defecto en Windows. Obviamente, esto hace que reconocer
archivos potencialmente maliciosos más difíciles. Por ejemplo, un archivo ejecutable de ransomware podría
tener la extensión filename.docx.exe y mostrar un icono de Microsoft Word; en este caso,
solo aparecería la extensión .docx, haciendo que este archivo parezca inofensivo. Para ver el
extensión de archivo en Windows 10, vaya al Panel de control y seleccione Opciones del Explorador de archivos. En
Windows 7, seleccione Panel de control y Opciones de carpeta, vaya a la pestaña Ver y anule la selección de
opción "Ocultar extensiones para tipos de archivo conocidos" (ver Figura 4-17 ).
Figura 4-17. Mostrar extensiones de archivo en el sistema operativo Windows
99
115 de 1189.
Desactivar reproducción automática

Cada vez que inserte un dispositivo de almacenamiento extraíble, como una memoria USB, externo
disco duro, disco CD / DVD / Blu-ray o tarjeta SD en su máquina, Windows examinará
su contenido y muestra la ventana emergente de reproducción automática preguntándole qué acción desea
para realizar con los medios insertados.
La función de ejecución automática de Windows (la función de reproducción automática en Windows es parte de la ejecución automática)
está activado de forma predeterminada en ediciones anteriores de Windows, lo que permite la ejecución de programas maliciosos
desde un dispositivo externo tan pronto como se insertan en una computadora. Comenzando desde
Windows Vista, Microsoft redujo este riesgo de seguridad al mostrar el cuadro de diálogo Reproducción automática
cada vez que se inserta un medio extraíble y le pregunta al usuario qué quiere hacer con
eso. Aunque las ediciones modernas de Windows dejan de ejecutar AutoRun automáticamente, el usuario
aún está a un paso de ejecutar un programa potencialmente malicioso si seleccionan ejecutar un
programa en el cuadro de diálogo Reproducción automática. Por este motivo, es recomendable desactivar ambas funciones para
aumentar la protección contra un ataque de malware USB.
Para deshabilitar la función de reproducción automática en Windows (en las ediciones de Windows de la 7 a la 10),
vaya al Panel de control, seleccione Reproducción automática y desactive la casilla "Usar reproducción automática para todos los medios y
caja de dispositivos "; finalmente, haga clic en el botón Guardar (ver Figura 4-18)
Figura 4-18. Deshabilitar la función de reproducción automática de Windows en Windows 10
AutoRun es diferente de AutoPlay. Mientras AutoPlay muestra una ventana emergente,

AutoRun buscará el archivo autorun.inf, que ejecuta automáticamente el
programa asociado (podría ser un malware), especificado en el archivo autorun.inf, cada uno
hora de acceder a la unidad USB o al disco. (Este comportamiento es en versiones antiguas de Windows, como
mencionado). Esto puede resultar en infectar su computadora con malware y, después de eso,
propagar la infección a otros dispositivos que residen en la misma red. Mitigar
100
Page 116
este riesgo, es muy recomendable que también desactive la función de ejecución automática. En el
siguiendo los pasos, le mostraremos cómo deshabilitar tanto AutoPlay como AutoRun usando
Política de grupo de Windows.
Para deshabilitar la reproducción automática mediante la directiva de grupo de Windows, haga lo siguiente:
1. Acceda al Editor de directivas de grupo escribiendo gpedit.msc en el cuadro de búsqueda

del menú Inicio de Windows.
2. Navegue a Configuración de la computadora ➤ Plantillas administrativas

➤ Componentes de Windows ➤ Políticas de reproducción automática (consulte la Figura 4-19 ).
Figura 4-19. Acceso a las políticas de reproducción automática en Windows 10 usando el grupo local
Editor de políticas
3. Haga doble clic en el elemento Desactivar reproducción automática en el panel derecho. En el

emergente, seleccione la opción Activado, vaya a la sección Opciones y
asegúrese de que "Todas las unidades" esté seleccionado (ver Figura 4-20 ). Finalmente, haga clic
Aplicar y luego OK.
101
Página 117
Figura 4-20. Deshabilitar la ejecución automática en Windows 10 mediante la directiva de grupo local
Ahora, para deshabilitar la función de ejecución automática, debe configurar otro elemento en
Políticas de reproducción automática. Haga doble clic en "Establecer el comportamiento predeterminado para la ejecución automática" a la derecha
cristal; en la ventana emergente, asegúrese de que esté habilitado como en la Figura 4-21. Finalmente, haga clic
Aplicar y luego OK.
102
118
Figura 4-21. Evitar que Windows ejecute cualquier comando de ejecución automática
Deshabilitar el protocolo de escritorio remoto

Remote Desktop Protocol (RDP) permite a un usuario acceder de forma remota a su PC, pero esto
El protocolo puede ser explotado para infectar la máquina con ransomware. Para endurecer tu PDR
acceso, siga estos pasos:
• Use una contraseña segura para su acceso RDP, con al menos 16

caracteres alfamericos
• Asegúrese de que la Autenticación de nivel de red (NLA) esté habilitada para

su conexión RDP yendo al Panel de control y seleccionando Sistema.
En el panel izquierdo, seleccione "Configuración avanzada del sistema" y vaya a
Pestaña remota (ver Figura 4-22 ).
103
Page 119
Figura 4-22. Habilitación de NLA
• Cambie el número de puerto predeterminado RDP de 3389 a otra cosa;

esto debería agregar una capa adicional de seguridad para confundir el escaneo de puertos
herramientas. Para cambiar el número de puerto predeterminado de RDP, haga lo siguiente:
1) Abra el editor del registro presionando Windows + R, escriba regedit,

y presione Entrar.
2) Ahora, navegue a HKEY_LOCAL_MACHINE \ SYSTEM \

CurrentControlSet \ Control \ Terminal Server \
WinStations \ RDP-TCP.
3) Busque el elemento PortNumber en el panel derecho y haga doble clic

Para abrirlo.
104
120
4) Cambie la base para mostrar un valor decimal, y cambie el

número de 3389 a otra cosa como 4566.
5) Haga clic en Aceptar para guardar los cambios (consulte la Figura 4-23 ) y reinicie
su máquina para que el cambio surta efecto.
Figura 4-23. Cambiar el número de puerto predeterminado de RDP
• Use un servicio VPN confiable antes de iniciar la sesión RDP. Si lo haces
No sé cómo seleccionar el mejor servicio VPN, escribí una guía detallada
sobre este tema en https://www.secjuice.com/how-to-choose-a-
virtual-private-network-vpn-provider / .
• Asegúrese de que su sistema operativo siempre esté parcheado y actualizado para evitar
explotar al protocolo RDP que puede resultar en comprometer su
sistema.
Finalmente, hágase esta pregunta: ¿realmente necesita una conexión RDP? Si el

la respuesta es no, entonces la opción más segura es deshabilitarlo.
105
Page 121
Habilitar políticas de restricción de software

Independientemente de si el usuario activo tiene una cuenta de privilegios limitados, malware avanzado
todavía puede infectar su máquina y propagarse a otros lugares de la red que el
El usuario puede acceder. El malware puede lograr esta persistencia en cuentas limitadas copiando
en el directorio de inicio del usuario para iniciar cada vez que un usuario inicia sesión en su máquina.
Para contrarrestar tales riesgos en entornos domésticos y corporativos, Microsoft tiene un simple
y un gran mecanismo de seguridad integrado en Windows para detener la ejecución de código malicioso
llamadas políticas de restricción de software (SRP).
En esta sección, le muestro cómo activar SRP usando una computadora independiente. Si tu
están trabajando en un entorno corporativo, la política de grupo SRP se puede habilitar en todos
puntos finales de red corporativos que utilizan el servicio de dominio de Microsoft Active Directory.
¡Advertencia! SrP no es un programa antivirus y no significa reemplazar uno.

SrP no puede evitar que el malware se copie en el disco duro de la máquina en cuestión
conducir. sin embargo, puede prevenir el malware existente en el disco duro o en el adjunto
unidades de medios extraíbles para que no se ejecuten.
SRP es una función de directiva de grupo disponible en todas las ediciones de Windows excepto Windows
Versiones caseras. SRP permite a los administradores crear un entorno restrictivo en el
Sistema operativo Windows para controlar la ejecución de aplicaciones y scripts no confiables. Por ejemplo,
Al usar SRP, puede controlar qué aplicaciones / scripts pueden ejecutarse desde cualquier directorio
dentro del sistema. Por ejemplo, puede usar SRP para decirle a Windows que ejecute programas
desde ubicaciones específicas como C: \ Windows, C: \ Archivos de programa y C: \ Archivos de programa
(x86) mientras evita esta funcionalidad en cualquier otro lugar.
Cuando el ransomware llega a un usuario que inició sesión con una cuenta estándar, generalmente copiará
en el directorio de inicio del usuario. Una cuenta estándar de Windows tiene permiso
escribir en directorios normales de Windows (p. ej., Windows, Archivos de programa y Archivos de programa
(x86)). En tal caso, los archivos descargados de Internet y los archivos adjuntos de correo electrónico en
Además de los archivos descomprimidos, generalmente se almacenan en la carpeta% APPDATA% debajo de la carpeta actual
directorio de inicio del usuario. Al habilitar la política SRP, puede evitar el ransomware y otros
los tipos de malware se ejecutan desde el directorio de inicio.
106
Page 122
Para habilitar SRP con Windows 10, siga estos pasos:
1. Vaya al menú Inicio de Windows y escriba gpedit.msc para iniciar el

Editor de directivas de grupo de Windows.
2. Navegue a Configuración de la computadora Settings Configuración de Windows ➤

Configuración de seguridad Policies Políticas de restricción de software (consulte la Figura 4-24)
Figura 4-24. Habilitación de SRP en la Política de grupo local (aplicable a todos los admitidos
Versiones de Windows)
3. Haga clic con el botón derecho en la carpeta Políticas de restricción de software y seleccione Nuevo
Políticas de restricción de software (ver Figura 4-25 ).
107
123
Figura 4-25. Crear una nueva política SRP
4. En el panel derecho, haga doble clic en el elemento Aplicación para configurar

como se muestra en la Figura 4-26 .
108
Page 124
Figura 4-26. Configurar propiedades de cumplimiento de SRP
5. Ahora, debe establecer el nivel de seguridad de su política SRP; allí

Son tres opciones.
• No permitido : el software no se ejecutará, independientemente del acceso

derechos del usuario.
• Usuario básico : Esto permite que el programa a ejecutar como un usuario que
no tiene derechos de acceso de administrador pero aún puede acceder
recursos accesibles para usuarios normales.
• Sin restricciones : los derechos de acceso al software están determinados por

derechos de acceso del usuario.
En este caso, debe restringir la ejecución de aplicaciones y scripts, por lo que

haga doble clic en Niveles de seguridad, haga clic con el botón derecho en No permitido y seleccione "Establecer como predeterminado" (consulte
Figura 4-27 ).
109
125
Figura 4-27. Configurar un nivel de seguridad para la política SRP
6. Para ver las rutas predeterminadas donde se puede ejecutar el software autorizado,
haga doble clic en la carpeta Reglas adicionales; encontrarás dos caminos
autorizado (C: \ = Windows y C: \ Archivos de programa). Todos los programas
almacenado dentro de estos dos caminos puede ejecutarse (ver Figura 4-28 ). Tú
puede agregar rutas / carpetas adicionales que podrán iniciarse
aplicaciones. Todo lo que necesita hacer es hacer clic con el botón derecho en Reglas adicionales
y seleccione Nueva regla de ruta (consulte la Figura 4-29 ). Ahora, en lo nuevo
Ventana de configuración de ruta de regla, ingrese la ruta o haga clic en Examinar
para seleccionar uno, y en el menú desplegable "Nivel de seguridad", seleccione
Sin restricciones (ver Figura 4-30) Para ejecutar programas desde cualquiera de estos
rutas adicionales, el programa sujeto debe cargar sus bibliotecas de
las rutas C: \ Windows \ y C: \ Archivos de programa \.
110
Page 126
Figura 4-28. Carpeta Reglas adicionales que enumera las rutas predeterminadas configuradas para permitir
programas para ejecutar
Figura 4-29. Agregar nueva regla de ruta en la política SRP para anular el valor predeterminado
nivel de seguridad
111
Page 127
Figura 4-30. Definir la nueva regla de ruta y especificar su nivel de seguridad; en esto
Por ejemplo, todos los programas almacenados dentro de la ruta especificada pueden ejecutarse sin restricciones
7. Finalmente, haga clic en Aplicar y luego en Aceptar.
Si un usuario intenta ejecutar un programa desde una ruta no permitida, recibirá el error
mensaje mostrado en la Figura 4-31 .
112
Page 128
Figura 4-31. Mensaje de error para un programa que se ejecuta desde una ruta no permitida o
tener sus bibliotecas cargadas desde una ruta no permitida
¡Nota! Windows AppLocker es una nueva característica de seguridad para controlar software
uso en computadoras con Windows. introducido por primera vez en Windows 7, AppLocker
reemplaza la función de Políticas de restricción de software y generalmente se usa en empresas
ambientes. Aprenderá más sobre esto en el próximo capítulo.
Resumen
La defensa del punto final debe ser la primera línea en una estrategia de defensa multicapa. La mayoría de los usuarios
entiendo la palabra punto final como la última línea de defensa, pero esto es completamente incorrecto.
En los puntos finales, el usuario crea, procesa y almacena sus valiosos datos, convirtiéndolo en el
lugar preferido para que los cibercriminales comiencen su ataque y propaguen la infección a
otros lugares dentro de la red. Como el número de empleados que trabajan de forma remota o que usan
aumenta los puntos de acceso público WiFi para conectarse a su red corporativa, protección de
Los dispositivos de punto final se convierten en una prioridad aún mayor para las empresas.
En este capítulo, cubrí los pasos generales necesarios para proteger los dispositivos de punto final de
ataques de malware, centrándose en la amenaza del ransomware. La seguridad del punto final no está limitada
para instalar anti-malware y otro software de seguridad. Por ejemplo, hacer cumplir el software
reglas, usar una cuenta con privilegios limitados, descubrir vulnerabilidades y crear
Asegúrese de que su sistema operativo y las aplicaciones de terceros requeridas estén actualizadas y actualizadas regularmente
reducirá enormemente la oportunidad de que los atacantes accedan a su red a través de
puntos finales
113
Page 129
Existen muchos proveedores de seguridad de puntos finales comerciales, muchos de los cuales
han desarrollado productos con capacidades avanzadas que superan el antivirus tradicional
soluciones Se recomienda proteger su dispositivo de punto final con un producto comercial
para usuarios individuales (especialmente aquellos con experiencia limitada en seguridad de TI) con el objetivo de tener
Protección avanzada contra los ciberataques sofisticados de hoy en día, mientras se aplica
Tales soluciones en las organizaciones necesitan una planificación cuidadosa. Las organizaciones también necesitan
compare las diferentes características de los productos para instalar el mejor para satisfacer sus necesidades.
En el próximo capítulo, continuaremos nuestra discusión sobre técnicas de protección para
evitar un ataque de ransomware, pero esta vez en un entorno empresarial.
114
130
CAPÍTULO 5
Defensa empresarial
Estrategias contra
Protección contra ataques de ransomware en el entorno corporativo
Los gobiernos y las redes corporativas son objetivos principales para los cibercriminales; ellos
contener valiosa información de propiedad como secretos comerciales e información financiera
o mantener información sensible de institutos gubernamentales como militares y diplomáticos
información. Dichas redes tienen grandes y diversas superficies de ataque, creando amplias
posibilidades de que los atacantes se cuelen.
El método antiguo de proteger las redes empresariales era implementar firewalls
en el perímetro de la red, aislando así las redes internas confiables que mantienen la empresa
datos y aplicaciones de los peligros de la red externa no segura (en otros
palabras, Internet). Este modelo de defensa era común hace diez años, pero con el
crecimiento explosivo de las comunicaciones por Internet y la tecnología de dispositivos móviles, empresas
ya no están operando solo en sus instalaciones. Hoy en día, la mayoría de las empresas conceden
acceso a su red interna a empleados remotos, socios y contratistas.
Obviamente, esto hace que asegurar el perímetro solo sea una solución obsoleta, ya que los intrusos pueden
ahora sobrepasa la seguridad del perímetro (el firewall tradicional) e infecta dispositivos de punto final
directamente (por ejemplo, cuando un empleado desprevenido abre un archivo adjunto de correo electrónico malicioso en
su puesto de trabajo).
El nuevo modelo de comunicación donde los usuarios remotos (ya sean clientes
o empleados) acceden a la red corporativa interna y utilizan sus aplicaciones abre el
puerta para todo tipo de ataques maliciosos y malware. Para contrarrestar esta amenaza, las empresas
115
Página 131
CAPÍTULO 5 ESTRATEGIAS DE DEFENSA EMPRESARIAL CONTRA LOS ATAQUES DE RANSOMWARE
necesita implementar un nuevo tipo de estrategia de defensa que no se centre únicamente en asegurar
la puerta de enlace de su red, pero también asegura dispositivos de punto final, servidores, redes
dispositivos y datos, sin olvidar implementar la capacitación de concientización de seguridad para sus
usuarios finales. Una estrategia de defensa multicapa tan completa se conoce como defensa en
estrategia de profundidad (DiD).
DiD es una estrategia de defensa de ciberseguridad donde se encuentran múltiples capas de defensas
implementado para proteger los sistemas informáticos empresariales. Si una defensa falla, otra capa se intensifica
inmediatamente para contrarrestar el ataque. La arquitectura DiD aborda diferentes vectores de ataque
y trabaja para proteger todo el sistema de TI de los ataques internos y externos.
En este capítulo, cubro los principales elementos de seguridad que toda organización debería
considerar al proteger una red de ataques de malware, enfocándose principalmente en
Secuestro de datos. Según muchos estudios, sistemas operativos y aplicaciones obsoletas
siguen siendo las principales fuentes de violaciones de datos, así que empiezo hablando sobre este problema.
Gestión eficiente de parches

La administración de parches a veces se ignora en la disciplina de seguridad informática, incluso
aunque debería ser el primer elemento en cualquier plan de protección de ciberseguridad. Mantener
sistemas seguros contra ransomware y otros tipos de malware, las empresas deberían tener un
política rígida de administración de parches que define claramente los controles y restricciones de parches
para reducir las amenazas cibernéticas que afectan a los sistemas informáticos empresariales.
A medida que la tecnología continúa evolucionando diariamente, mantener actualizado un sistema de TI requiere
compromiso y planificación. La administración de parches es el proceso de mantener su funcionamiento
sistema, software instalado y otros servicios de TI actuales para evitar que los atacantes tomen
ventaja de cualquier vulnerabilidad de seguridad que pueda comprometer los sistemas. Parchear incluye
actualizar todos los dispositivos de activos digitales empresariales, incluidos los siguientes: dispositivos de red
(Puntos de acceso WiFi, enrutadores, firewalls, sistemas de detección de intrusos [IDS]), servidores, PC,
computadoras portátiles, impresoras, dispositivos de almacenamiento, teléfonos, tabletas, PDA) y cualquier conexión a Internet
dispositivo (dispositivos de Internet de las cosas [IoT]) además de sistemas operativos, aplicaciones instaladas,
soluciones antivirus, sistemas de bases de datos, software financiero, componentes de programas y
sistemas de gestión de contenidos (CMS).
116
Page 132
Capítulo 5 estrategias de defensa empresarial contra ataques de ransomware
¡Nota! de acuerdo con un informe titulado "respuesta actual al estado de vulnerabilidad: parche
el trabajo exige atención "publicado por servicenow y el instituto ponemon que
aborda la importancia de la gestión de parches, "57 por ciento de los encuestados que
informó una violación dijo que fueron violados debido a una vulnerabilidad por la cual un
parche disponible pero no aplicado. 34 por ciento dice que en realidad sabían que eran
vulnerable antes de que ocurriera la violación ".1
La aplicación de parches no puede realizarse con unos pocos clics; las personas responsables de parchar los activos de TI
primero necesita identificar las actualizaciones / parches necesarios (el parche es simplemente una pieza de código).
Después de eso, deben instalar y probar estos parches en máquinas que no sean de producción (por ejemplo,
entornos virtualizados). Finalmente, pueden implementar estas actualizaciones en la producción.
sistemas y documentarlos.
Los siguientes son los componentes principales de cualquier política general de administración de parches:
• Todos los dispositivos de TI y aplicaciones de software y sistemas operativos deben actualizarse

y parcheado para evitar cualquier vulnerabilidad de seguridad.
• Los parches deben incluir todos los dispositivos con capacidad de Internet, redes
dispositivos, SO, todo el software instalado y aplicaciones de terceros,
firmware del dispositivo y todos los sistemas de información dentro de una organización.
• Los parches deben probarse primero en dispositivos que no sean de producción antes de ser
aplicado en sistemas de producción.
• Los parches no críticos deben aplicarse durante el tiempo de mantenimiento.
• Se debe hacer una copia de seguridad de los datos críticos antes de aplicar cualquier parche nuevo.
• Si hay una excepción para no implementar un parche (por ejemplo, sistemas heredados,
miedo a la inestabilidad y / o al tiempo de inactividad), el administrador de parches debería
justifique esto y plantee el problema al departamento de seguridad de la información.
1 Servicenow, "Respuesta actual del estado de vulnerabilidad: el trabajo de revisión exige atención", 25 de abril de
Https://www.servicenow.com/content/dam/servicenow-assets/public/en-us/doc- 2019
type / resource-center / analyst-report / ponemon-state-of-vulnerabilidad-response.pdf
117
Page 133
• Los usuarios remotos conectados a los sistemas de TI de una organización deben cumplir
a la política de administración de parches al actualizar y parchar sus
dispositivos para que sus dispositivos sean tan seguros como los administrados por la empresa
dispositivos.
• Para usuarios remotos, una política de parches puede incluir una lista de prohibidos
software que los usuarios no pueden instalar en sus dispositivos de punto final.
• Los parches desplegados deben documentarse.
• La actualización periódica de una política de parches es imprescindible para mantenerse en línea con
gobierno y otros organismos de cumplimiento regulatorio.
Herramientas de administración de parches

Aplicar parches a todos sus dispositivos de TI manualmente es una tarea desalentadora, especialmente si necesita implementar
estas actualizaciones a cientos de dispositivos de punto final y servidores con diferentes sistemas operativos. Tú
puede automatizar el proceso de parcheo utilizando diferentes herramientas. Los siguientes son los más
populares (todas estas herramientas son comerciales):
• Administrador de configuración de Microsoft System Center (SCCM, ( https: //

www.microsoft.com/en-us/cloud-platform/system-center-
configuración-administrador-licenciamiento)
• Administración de parches de Windows ( https://www.itarian.com/patch-

management / windows-patch-management.php, es gratis por ahora)
• SolarWinds Patch Manager (https://www.solarwinds.com)
• Parche Ivanti ( https://www.ivanti.com/solutions/security)
¡Nota! Windows tiene una utilidad de parcheo incorporada para implementar la última versión de Microsoft
actualizaciones del producto llamadas servicios de actualización del servidor de Windows (wsU). está disponible
en todos los servidores de Windows OSS, pero su principal desventaja es que solo se ocupa de
productos de microsoft.
118
Page 134
Endurezca su entorno
En esta sección, hago recomendaciones para fortalecer el entorno de TI de su empresa,
haciéndolo más resistente a la infección por ransomware.
Seguridad física
La seguridad de los activos digitales (servidor, estación de trabajo, almacenamiento de respaldo, instalaciones de red,
y así sucesivamente) tiene la misma importancia para los datos almacenados en ellos. En seguridad informática,
Las medidas de precaución que restringen el acceso a las instalaciones, equipos y recursos.
que se conoce como la seguridad física . Por ejemplo, un actor malicioso puede superar todo el software
controles de seguridad (por ejemplo, antivirus, firewall, IDS) y propagación de ransomware en todo el
red empresarial si logran obtener acceso físico (por ejemplo, enchufar un
USB malicioso) a un dispositivo de punto final o a una máquina servidor. Estos son algunos consejos para
Garantizar la seguridad física de los equipos informáticos:
• Restrinja el acceso a sus instalaciones utilizando sistemas de control de acceso como

Tarjeta o sistema biométrico.
• Utilice sistemas de CCTV para monitorear su instalación de forma remota; las cámaras deberían
Cubra todas las áreas sensibles claramente.
• Restrinja el acceso a las salas de servidores y a cualquier área dentro de sus instalaciones.
sosteniendo equipos sensibles. Solo el personal de TI autorizado debe
tener acceso a tales áreas.
• No permita que sus empleados abandonen sus dispositivos de punto final (computadora portátil,
estación de trabajo o tableta) sin supervisión. Solicite a sus empleados que apaguen
su dispositivo o para bloquear su pantalla con una contraseña cuando están fuera.
• Mantenga los medios de almacenamiento de datos, como discos duros externos, unidades USB,
CD / DVD y cualquier medio de copia de seguridad fuera de la vista. Un almacenamiento central
El servidor debe almacenarse en la sala de servidores bloqueada.
• Desconecte los puntos finales no utilizados de sus redes; tales máquinas

puede explotarse de diferentes maneras para comprometer su sistema de TI.
• Dispositivos portátiles de computación para el usuario final (por ejemplo, tabletas, computadoras portátiles,
teléfonos inteligentes) deben almacenarse en un gabinete cerrado cuando no estén en uso.
119
135
• No conecte los dispositivos informáticos de los visitantes a su red, y no

no les dé acceso a su punto de acceso WiFi.
• Hacer cumplir las reglas de seguridad física en todos los visitantes a sus instalaciones. por
Por ejemplo, los visitantes o contratistas deben usar una insignia para indicar su
trabajo y las áreas que están autorizados a ingresar dentro de la instalación.
Tener medidas de seguridad física lo ayudará a evitar el acceso no autorizado a su

red y a las instalaciones de su empresa.
Segmentación de red
La segmentación de red es una contramedida efectiva para luchar contra el ransomware ya que
reduce el impacto de la intrusión en la red y dificulta que un adversario encuentre y
acceder al segmento donde se almacena la información confidencial.
En la segmentación de red, divide una red grande en segmentos más pequeños usando
cortafuegos, enrutadores, redes de área local virtual (VLAN) y otras separaciones de red
técnicas Además de aislar datos confidenciales en segmentos seguros, red
la segmentación aumentará el tiempo necesario para que los atacantes descubran y mapeen el objetivo
red después de la intrusión, haciéndolos más susceptibles al descubrimiento por firewalls y
sistema de deteccion de intrusos.
Sin segmentación de red, si el ransomware compromete con éxito un
punto final, puede propagarse a todos los demás puntos finales conectados a la misma red
(ver figura 5-1)
Figura 5-1. En una topología de red plana, infectar un punto final propagará
infección a todos los puntos finales conectados a la misma red LAN
120
Page 136
Al segmentar una red, el tráfico entre diferentes segmentos pasará

un cortafuegos Esto le permite instalar una solución anti-ransomware dedicada en el
punto de conexión para detener la propagación de ransomware entre diferentes segmentos de red
(ver figura 5-2)
Figura 5-2. La separación de LAN en segmentos evita la infección de ransomware

propagándose a otros segmentos
Implemente un producto genérico anti-ransomware

Tener una solución antivirus no es suficiente para detener los ataques de ransomware. Hay muchos
productos especializados anti-ransomware en el mercado hoy en día, y tener un dedicado
La solución que protege tanto los servidores como los puntos finales de los ataques de ransomware proporciona una
capa adicional de defensa para proteger su red. Las mejores soluciones anti-ransomware
Utilice el análisis de comportamiento y la detección basada en la nube para detectar y detener el ransomware.
Estas técnicas de detección superan los métodos de detección basados en firmas que son
todavía empleado por la mayoría de los programas antivirus típicos. Mientras que los programas antivirus se enfocan
en la captura de malware en una etapa temprana, los programas anti-ransomware se han especializado
características para luchar contra la infección de ransomware que hacen los programas antivirus tradicionales
no ofrecer, como evitar que el ransomware complete su rutina de cifrado,
supervisando las operaciones de manipulación de archivos, ejecutando archivos sospechosos en un entorno virtual
entorno (sandboxing) y realizar una copia de seguridad en tiempo real de archivos críticos y almacenar
la copia de seguridad en contenedores seguros si hay un posible ataque de ransomware en curso.
121
137
Los programas anti-ransomware son comerciales, por lo que no recomendaré ningún producto;
sin embargo, asegúrese de comparar las características de los diferentes proveedores, lea el anterior
Revisiones de los clientes y verifique el acuerdo de licencia antes de comprar una solución.
Usar cuentas con menos privilegios

Como se mencionó en el capítulo anterior, use cuentas de privilegios limitados para su
trabajo diario de los empleados. Incluso los administradores de TI deben usar la cuenta no privilegiada
durante su trabajo diario a menos que estén realizando una tarea de TI que requiera administración
privilegios En este caso, deberían usar una cuenta secundaria privilegiada. Lo mas
lugares comunes para imponer el modelo con menos privilegios son los dispositivos de punto final y la red
Comparte.
Gestión de vulnerabilidades
Según la Organización Internacional de Normalización (ISO), una vulnerabilidad es
"Una debilidad de un activo o grupo de activos que pueden ser explotados por una o más amenazas".
Desde una perspectiva de ciberseguridad, una vulnerabilidad es una debilidad en los programas de software que
permite que actores maliciosos comprometan un sistema informático.
La gestión de vulnerabilidades es la práctica de identificar vulnerabilidades en la computadora
sistemas y luego trabajando para eliminar los riesgos antes de que sean explotados por un malicioso
actor. Tener un programa de gestión de vulnerabilidades es esencial para todas las organizaciones.
queriendo proteger sus sistemas de TI de los ciberataques.
Normalmente hay cuatro etapas de cualquier programa de gestión de vulnerabilidades.
• Descubrimiento : Lista de todos los activos de TI (tanto de hardware como de software) dentro de
tu organización. Tener un programa de gestión de inventario de TI
simplifica esta tarea.
• Informes : utilice un programa de escaneo de vulnerabilidades para escanear su TI

dispositivos y luego informar las vulnerabilidades encontradas para cada uno.
• Priorización : clasifique las vulnerabilidades descubiertas según cada

El riesgo de uno.
• Respuesta : Implemente la corrección para cerrar estas vulnerabilidades.

comenzando con el más crítico.
122
Page 138
Herramientas de escaneo de vulnerabilidades

Para detectar vulnerabilidades y parchearlas correctamente, debe escanear sus redes,
dispositivos informáticos y aplicaciones para encontrarlos. La Tabla 5-1 enumera los más populares
herramientas de escaneo de vulnerabilidades junto con el tipo de licencia de cada uno.
Tabla 5-1. Programas de escáner de vulnerabilidades
Nombre de la herramienta Sitio web Tipo de licencia
nessus https://www.tenable.com/products/ Comercial
nessus / nessus-professional
tripwire ip360 https://www.tripwire.com/products/ Comercial

tripwire- ip360
openVas http://www.openvas.org gratis
Wirehark https://www.wireshark.org gratis
avión https://www.aircrack-ng.org gratis
nikto https://www.cirt.net/Nikto2 gratis
Comunidad nexpose https://www.rapid7.com/info/ gratis

comunidad nexpose
¡Nota! Se debe realizar un análisis de vulnerabilidad con frecuencia para evitar abandonar el
sistema vulnerable por un largo período de tiempo. Se prefiere un escaneo mensual para grandes
organizaciones.
Cortafuegos de próxima generación

Hasta ahora, cualquier plan de protección de seguridad de red comienza con la instalación de un firewall en el
perímetro de red. Soluciones de firewall tradicionales, que utilizan el filtrado de paquetes a través de
la inspección de puerto / protocolo ya no es adecuada para detener los ataques modernos de malware.
Los cambios continuos en el uso de la aplicación, el panorama de amenazas, el comportamiento del usuario y
123
Page 139
Las infraestructuras cada vez más complejas de los entornos de red actuales requieren
adoptando nuevas soluciones de firewall que utilizan la inspección de contenido de paquetes (entre otros
funciones avanzadas) para identificar el tráfico de la aplicación independientemente del puerto, protocolo o
cifrado utilizado
Los cortafuegos vienen en dos formas: software y hardware. Pequeñas empresas (diez
empleados o menos) pueden preferir instalar una solución de software. Sin embargo, administrarlo es
una tarea desalentadora, ya que necesita instalar un firewall en cada dispositivo. Un firewall de hardware es
preferible a la contraparte de software y necesita menos trabajo administrativo. tenga en cuenta
que el firewall de hardware no es solo una pieza de hardware, ya que necesita componentes de software
para hacer su trabajo
Para la mayoría de las empresas (incluso la pequeña), la solución ideal es tener un hardware
firewall instalado en el perímetro de la red. Servidores de seguridad modernos conocidos como la próxima generación
los cortafuegos (NGFW) vienen con herramientas de seguridad avanzadas como antivirus, anti
malware y herramientas antispam, y son compatibles con la red privada virtual (VPN)
conexiones además de todas las capacidades de la tecnología de firewall tradicional.
Usando un firewall NGFW, los administradores de red pueden identificar aplicaciones y
aplicar una política de seguridad de red para evitar que pasen aplicaciones no autorizadas
tráfico (por ejemplo, aplicar la lista negra y la lista blanca de una aplicación), además del bloqueo
cualquier protocolo que encuentren riesgoso y que cierren todos los puertos de red cuando no estén en uso para
evitar que las herramientas de escaneo de puertos descubran puertos abiertos. Por ejemplo, RDP, que
ha sido explotado por muchas cepas de ransomware, puede bloquearse por completo en todo el
red a través de un firewall.
¡Nota! Si sus usuarios necesitan acceso a PDR, asegúrese de que se conectan a través de un VPN seguro.
Muchos proveedores de firewall ofrecen dispositivos NGFW que vienen con intrusiones
sistemas de prevención y capacidades avanzadas anti-malware que usan firmas y
detección basada en heurística. Algunos productos NGFW se integran con Active Directory para
aplicar reglas de uso de la aplicación de firewall en usuarios individuales y grupos en Windows
entornos (esta característica se conoce como conciencia de identidad ). Los NGFW pueden fortalecer
defensas de redes empresariales contra ataques de ransomware.
124
140
Sistemas de detección de intrusos e intrusión

Sistemas de prevención
Como firewalls, sistemas de detección de intrusos (IDS) y sistemas de prevención de intrusos
(IPS) vienen como dispositivos de hardware (con componentes de software) o como software
aplicaciones. Tanto los IDS como los IPS inspeccionan el tráfico de red en busca de firmas que coincidan con un
base de datos de firmas de ciberataques conocidos. Sin embargo, difieren en la acción que toman
cuando se detecta actividad maliciosa.
Los IDS vienen en dos tipos: de red y basados en host. Obviamente, un IDS de red
supervisar el tráfico de red, mientras se instala un sistema de detección de intrusos (HIDS) basado en host
en computadoras individuales y monitorea activamente el estado de un sistema (por ejemplo, integridad de archivos
controles, análisis de registros, monitoreo de procesos, monitoreo de registro de Windows, detección
software malicioso lanzado desde dispositivos USB) y el tráfico de red que pasa
Sus interfaces de red.
Los IDS monitorean el tráfico de red sin tomar ninguna medida de protección. Cuando un
se detecta un incidente potencial, dispara una alarma (o envía una notificación) para que otro
sistema o un humano puede realizar una acción como cerrar el punto de entrada del ataque o
reconfigurar el firewall para detener futuros ataques.
¡Nota! ossec (https://www.ossec.net ) es una intrusión gratuita de código abierto

Sistema de detección.
Un sistema de prevención de intrusiones hace un trabajo similar a un IDS en monitoreo

tráfico de red pero actúa de manera diferente cuando detecta actividad maliciosa. Un IPS utiliza profunda
inspección de paquetes y monitorea proactivamente el tráfico de red para detectar actividades sospechosas
y toma medidas preventivas automáticamente (por ejemplo, denegando tráfico malicioso) para disuadir
el ataque. A diferencia de un IDS, que no toma contramedidas automáticas, un IPS es
Un sistema de control que impide y permite la entrega de paquetes mediante una política predefinida.
La base de datos de firmas de ciberataques es el componente principal de cualquier sistema IPS / IDS;
contiene patrones de ataque conocidos y anomalías de protocolo y debe actualizarse
periódicamente para evitar que pasen nuevas amenazas cibernéticas. Por ejemplo, en
un caso de ataque de ransomware, un IPS puede detener el código del kit de explotación antes de llegar al objetivo
punto final. Un IPS también puede bloquear la conexión con comando y control (C&C)
servidores si alguno de los puntos finales se infecta con ransomware (posterior a la infección).
125
141
Muchos proveedores de IDS / IPS ahora están integrando IPS más nuevos con firewalls para crear un
tecnología de gestión unificada de amenazas (UTM). UTM combina las funciones de seguridad
de todas estas soluciones en un dispositivo en un solo punto de la red. UTM trae el
siguiente protección a redes empresariales:
• UTM proporciona capacidades antivirus, antimalware y antispam, en

Además de escanear todos los archivos adjuntos de correo electrónico entrantes.
• Al usar un IPS, los ataques conocidos se pueden detener antes de llegar al

red interna.
• UTM proporciona filtrado web para evitar el acceso a sitios web no deseados.
• UTM proporciona filtrado de contenido basado en el tipo de archivo MIME, archivo

extensión, o tipo de protocolo, además de bloquear otro contenido como
ActiveX, applets de Java y objetos Flash según sea necesario.
• UTM incorpora tecnología de prevención de fuga de datos (DLP).
• UTM actualiza su base de datos de firmas de amenazas cibernéticas IPS además

a otras listas de definición de virus de soluciones de seguridad (antivirus y
antimalware) automáticamente sin ninguna intervención del usuario.
• Los administradores de seguridad de red pueden administrar una amplia gama de seguridad
herramientas que usan una consola de administración.
¡Nota! Utilizar Utm para la defensa de la red no debería hacernos abandonar a otros
productos de seguridad (por ejemplo, instalación de software antivirus en dispositivos de punto final). Utilizando
un solo dispositivo para proteger toda la infraestructura de TI va en contra de una estrategia DiD,
lo que sugiere proteger las redes de computadoras con una serie de capas de defensa.
Los términos Utm y ngfw a menudo son utilizados como sinónimos por los clientes y
vendedores. comparten funciones comunes; sin embargo, son diferentes en términos de
Personalización y sencillez. por ejemplo, Utm es más fácil de administrar e implementar,
por lo que es una solución preferida para pequeñas y medianas empresas, mientras que ngfw
es más adecuado para grandes empresas que desean personalizar sus políticas de seguridad
y que tienen recursos adecuados y experiencia en seguridad para gestionar diferentes
Electrodomésticos de seguridad.
126
Page 142
Sandboxing de red
Los firewalls de última generación utilizan firmas y métodos de detección heurísticos con gran éxito.
para bloquear ataques de malware. Sin embargo, con un número cada vez mayor de amenazas, tales
los métodos de detección no son suficientes, especialmente al contrarrestar las amenazas de día cero o
ataques dirigidos
Hablé sobre la tecnología de sandboxing anteriormente. En el lado de la red, sandboxing
se está convirtiendo cada vez más en una capa de seguridad importante en el perímetro de la red. Red
el sandboxing funciona enviando archivos sospechosos a un entorno virtual aislado
(sandbox) para examinar su código. Si el archivo sujeto se encuentra malicioso, obtendrá
terminado; de lo contrario, se marcará como legítimo y se le permitirá pasar la red
perímetro.
Muchos proveedores de NGFW ofrecen una función de sandboxing en la nube por suscripción,
donde se envían archivos sospechosos a la infraestructura de la nube para analizar sus comportamientos cuando
ejecutado. Con el aumento continuo de los ataques de ransomware, el sandboxing de red es
Un componente esencial de la defensa de la red para proteger contra todas las amenazas, ambas conocidas
y desconocido, antes de ingresar a la red interna. Debes asegurarte de que tu futuro
El firewall es compatible con la función de sandboxing.
¡Nota! los firewalls de última generación pueden combinar ips / iD y sandboxing de red en uno
unidad. siempre consulte la lista de características del firewall antes de comprar uno.
¡Advertencia! La técnica de sandboxing todavía tiene algunas limitaciones. autores de malware

están continuamente mejorando su código para crear malware "sandbox-aware" que
puede detectar si se está ejecutando en un sandbox; si es así, el malware se comportará
diferente para que no se marque como malicioso.
Bloqueo de URL malicioso

Después de que el ransomware infecta con éxito un sistema, necesita comunicarse con sus C&C
servidores para recibir instrucciones y prorogate a otras computadoras dentro del infectado
red. Bloquear el acceso a dominios maliciosos es una contramedida efectiva para
detener tanto la infección como la propagación del ransomware. Por ejemplo, los firewalls y los IPS pueden ser
127
Page 143
configurado para bloquear el tráfico C&C de la botnet ransomware. Hay muchos sitios web que
Ofrecer listas de sitios conocidos de malware y phishing que pueden importarse al firewall para
terminar la conexión a sitios maliciosos. Los siguientes son los más populares:
• rastreador de ransomware (https: //ransomwaretracker.abuse.

ch / lista de bloques ): Ofrece actualiza las listas de listas de bloques de bloque
ransomware botnet C&C tráfico.
• aa419 (https://db.aa419.org/fakebankslist.php): Esto enumera

sitios web fraudulentos
• Base de datos Malc0de ( http://malc0de.com/database): Esto enumera los sitios

con contenido malicioso
• Dominio de malware (https://www.malwaredomainlist.com):

Una lista de dominios URL maliciosos.
• DNS-BH (http://www.malwaredomains.com/wordpress/?page_
id = 66 ): contiene listas de bloqueo de dominios de malware.
• Open Phish ( https://openphish.com ): enumera miles de

sitios de phishing a diario.
¡Propina! Usar un servidor proxy central para restringir el acceso a sitios y servicios en línea
de todas las computadoras que tienen acceso a internet a través de la red de una organización es
una contramedida imprescindible contra el phishing y otros sitios maliciosos. más
los programas antivirus tienen capacidades de filtrado y bloqueo web que pueden ser
configurado para restringir el acceso a sitios maliciosos en dispositivos de punto final también.
Debería considerar bloquear el acceso a la red tor (el enrutador de cebolla). muchos
Las cepas de ransomware utilizan la red tor como un canal de comunicación con su
Servidor C&C. elEl sitio web https://www.dan.me.uk/tornodes ofrece una lista de
nodos tor (incluidos los nodos eXit) y se actualiza cada 30 minutos.
128
Page 144
Bloquear el acceso a los nodos tor no es suficiente para evitar que sus usuarios y posibles
el malware accede por completo a la red tor. Considera lo siguiente
medidas:
• Cree reglas de seguridad dentro de su firewall para evitar lo siguiente
aplicaciones para acceder a internet (tor, tor2web, ssh,
ssh-tunnel, como, ipsec-esp, http-proxy).
• Use filtros de aplicaciones para bloquear aplicaciones en función de su comportamiento

y negar todas las aplicaciones desconocidas.
• Crear una política de seguridad (lista blanca) para evitar la ejecución de

tor software en dispositivos de punto final.
Crea Honeypots
Un honeypot es una trampa de sistema informático utilizada para engañar a los cibercriminales cuando intentan
obtener acceso no autorizado a los sistemas de información. Un honeypot se anuncia en línea como
un objetivo potencial de alto valor (por ejemplo, servidor de archivos o bases de datos) para delincuentes cibernéticos. Empresas
use honeypots para detectar o desviar intrusos para que no ataquen los sistemas reales. Un honeypot
También es utilizado por los centros de investigación de ciberseguridad para comprender cómo los nuevos ataques cibernéticos
son desarrollados y para aprender más sobre las nuevas técnicas de ataque empleadas por
ciberdelincuentes para realizar sus actividades maliciosas (ver Figura 5-3)
129 129
Page 145
Figura 5-3. Seguridad de Honeypot
Para protegerse contra el ransomware, una empresa puede configurar un servidor falso (el honeypot)
y llénalo con archivos sin importancia. Si el ransomware compromete con éxito el honeypot
máquina, se notificará al administrador del sistema para que tome las medidas necesarias (por ejemplo,
terminando la sesión del usuario o máquina que aloja el ransomware atacante).
Al verificar los registros de honeypot y monitorear el tráfico de red a dichos sistemas,
Los administradores de seguridad pueden comprender el comportamiento de los cibercriminales y
técnicas empleadas por ellos para penetrar en los sistemas. El valor más importante de
honeypot systems está examinando la efectividad de las medidas de seguridad aplicadas y
sabiendo cuál no funciona correctamente para mejorarlo.
Línea de base de rendimiento de red

Una línea base de rendimiento de la red es un conjunto de métricas de red tomadas bajo condiciones normales.
condiciones operativas de la red de la organización y utilizadas por los administradores de red para
compare la línea de base con el tráfico de red actual para identificar cualquier violación de seguridad o
problemas de aplicación
130
Page 146
Monitorear la actividad inusual de la red puede revelar ciberataques avanzados como avanzado
amenazas persistentes (APT) y ransomware. Por ejemplo, tener tráfico originado en
un dispositivo de punto final, que generalmente se usa para acceder a Internet y al servidor CRM únicamente, para
otros puntos finales y al servidor de almacenamiento de archivos pueden indicar un ataque de ransomware que intenta
distribuido a través de la red empresarial, en tal caso, poner en cuarentena el punto final infectado
puede detener la propagación del ataque.
¡Nota! Se recomienda mantener registros de red durante al menos un año.

evidencia en caso de que sus contramedidas conduzcan a una investigación criminal.
Seguridad de correo electrónico

Como se mencionó en el Capítulo 2 , el correo electrónico es el vehículo número uno para entregar
ransomware y se considera la puerta de enlace preferida para intrusos para obtener acceso
a la red de una organización. Una investigación realizada por IBM en 2017 concluyó que
El 59 por ciento de los ataques de ransomware se realiza a través de correos electrónicos de phishing, y el 91 por ciento de todos
El malware se entrega a través de sistemas de correo electrónico.
Sin embargo, hay diferentes tipos de ataques de correo electrónico, desde un ataque de ransomware
perspectiva. El correo electrónico se puede utilizar para infectar sistemas con ransomware a través de dos
métodos.
• Los correos electrónicos de spam / phishing intentan convencer a un usuario para que haga clic en los enlaces dentro del
cuerpo del correo electrónico que contiene archivos maliciosos (por ejemplo, PDF, archivos ZIP, Word
documentos o JavaScript) o conducen a un alojamiento del sitio web comprometido
Un kit de exploits.
• Los correos electrónicos maliciosos contienen ransomware como un archivo adjunto.
En esta sección, hablo sobre las medidas de seguridad necesarias que deberían ser
implementado por cualquier organización para proteger su red del ransomware entregado a través de
correo electrónico. Aplazo hablar sobre la seguridad del correo electrónico del usuario final hasta el próximo capítulo porque es
considerado parte de la capacitación de concientización sobre seguridad cibernética del usuario final.
131
Page 147
Filtro avanzado de correo electrónico no deseado

Un mensaje de correo electrónico no deseado es un mensaje no solicitado enviado a través de sistemas de correo electrónico sin el
consentimiento del receptor El spam no solo es molesto para el receptor; también puede ser peligroso
cuando los spammers envían correos electrónicos con archivos adjuntos maliciosos o contienen enlaces a archivos maliciosos
destinos
Se cree que más de la mitad de los correos electrónicos enviados en todo el mundo son spam, según
al artículo de Statista "Los mensajes de spam representaron el 57 por ciento del tráfico de correo electrónico en
Diciembre de 2018 ".2 La intención principal de los correos electrónicos no deseados es con fines publicitarios, pero
Gran volumen viene con contenido nocivo. Los siguientes son algunos métodos para bajar
la cantidad de mensajes de spam recibidos:
• Filtrar por contenido : aplique filtros de contenido (proporcionando palabras) a

evitar que los correos electrónicos no deseados lleguen a dispositivos de punto final. El filtrado
el mecanismo puede tener lugar en una puerta de enlace (por ejemplo, correo electrónico de empresa
servidor), en un filtro de spam de terceros que se puede integrar en
los propios dispositivos de la empresa o en la nube, o en el usuario final
computadora.
• Filtrado de direcciones IP : los correos electrónicos no deseados también se pueden filtrar de acuerdo con
Dirección IP del remitente.
• Prevenir la recolección de correos electrónicos : los spammers usan diferentes correos electrónicos
técnicas de recolección para recopilar direcciones de correo electrónico a granel de la web
páginas para usarlos más tarde en sus campañas de spam. Recolección por correo electrónico
Se puede evitar utilizando diferentes técnicas.
• Ofusque su dirección de correo electrónico para que sea legible para los humanos, pero
difícil de capturar por bots automatizados. Por ejemplo, use "nihad
en darkgate dot com "(nihad@darknessgate.com). Otro
técnica para ofuscar direcciones de correo electrónico (eso es demasiado difícil de
detectar por bots) es usar un esquema de correo electrónico y publicarlo en línea. por
ejemplo, una empresa puede denotar el siguiente esquema de correo electrónico en
su sitio web: "[Apellido]. [Nombre] @ darknessgate.com".
• Incruste direcciones de correo electrónico en imágenes y publíquelas en línea.
Es demasiado difícil para los bots leer el texto dentro de la imagen.
2 https://www.statista.com/statistics/420391/spam-email-traffic-share
132
148 de 1189.
• Usar formularios de contacto : al usar un formulario de contacto, el correo electrónico del destinatario
la dirección estará oculta en el código de fondo de la página web.
• Use una dirección de correo electrónico desechable : las personas no deben usar su dirección privada
o la dirección de correo electrónico del trabajo para registrarse con algunos servicios gratuitos en línea o para
recibir ofertas en línea (por ejemplo, descargar libros electrónicos gratuitos) para evitar exponerse
su correo electrónico real a los spammers. Si desea proporcionar su correo electrónico
dirección a un sitio en el que no confía, es recomendable usar un sitio temporal
dirección de correo electrónico que se puede configurar para durar un período específico
(por ejemplo, horas o incluso minutos). Hay muchos sitios que ofrecen tales
servicio como Guerrilla Mail (https://www.guerrillamail.com ) y
TempMail (https://temp-mail.org/en )
• Desactivar HTML en la recepción de correos electrónicos : leer su correo electrónico sin formato
el texto es una solución efectiva para evitar scripts incrustados en enlaces
e imágenes de ejecutarse tan pronto como abra el correo electrónico. Tambien es
aconsejable deshabilitar la ventana de vista previa de correo electrónico y "no permitir el control remoto
contenido "en el mensaje abierto en su cliente de correo electrónico (consulte la Figura 5-4 ).
Figura 5-4. Ver contenido remoto utilizando el cliente de correo electrónico Thunderbird
• Las empresas deberían considerar el uso de tecnologías como el remitente

Marco de políticas (SPF), autenticación de mensajes basada en dominio
Informes y conformidad (DMARC) y DomainKeys Identified
Mail (DKIM) para detener el spam y otros tipos de correos electrónicos de phishing
entrando en su red. Por ejemplo, SPF es una autenticación de correo electrónico
133
Page 149
técnica que evita que los spammers envíen correos electrónicos falsos
usando su nombre de dominio. SPF funciona comprobando la dirección IP
del remitente para asegurarse de que esté autorizado por el dominio emisor
nombre. DMARC es una tecnología basada en SPF para prevenir
los ciberdelincuentes usan su nombre de dominio para enviar spam
y correos electrónicos de phishing. El estándar DKIM es como SPF; sin embargo, en cambio
de usar la dirección IP del remitente para validar la autenticidad del correo electrónico,
usa una firma digital para asociar un nombre de dominio con su reclamo
Mensaje de correo electrónico; DKIM funciona adjuntando la firma digital de un
nombre de dominio con cada mensaje de correo electrónico saliente enviado con él.
Bloquear archivos adjuntos

Una de las formas más comunes de infectar con ransomware es a través de archivos adjuntos. A
para protegerse contra este riesgo, es recomendable configurar su servidor de correo electrónico para bloquear ciertos
tipos de archivos que se consideran riesgosos.
Si su empresa establece una política de bloqueo de tipos de archivos peligrosos enviados por correo electrónico y
desea enviar un tipo de archivo bloqueado, puede usar el almacenamiento en la nube para cargar el archivo bloqueado
y luego envíe el enlace de descarga al destinatario o simplemente cambie el nombre del archivo (cambie su
extensión) antes de enviarlo para superar la restricción.
¡ADVERTENCIA! LISTA DE EXTENSIONES DE ARCHIVO QUE NO DEBEN ABRIR CUANDO

ENVIADO COMO UN ACCESORIO DE CORREO ELECTRÓNICO
la mayoría de los usuarios de computadoras piensan que los archivos ejecutables (con una extensión .exe) son los únicos
tipo de archivo peligroso que deben evitar abrir cuando se reciben por correo electrónico.
Desafortunadamente, esta información no está completa, ya que hay una gran cantidad de tipos de archivos que
se puede usar para ejecutar código malicioso. Los siguientes son los formatos de archivo más peligrosos que
no debe abrirse cuando se envía como archivo adjunto:
eXe, msi, msp, pif, appLiCation, gaDget, hta, CpL, msC, Jar, CmD, VB, VBs, VBe, Jse, ps1,
ps2, msh, msh1, msh2, mshXmL, sCf, Lnk, inf, reg, Js wsC, wsh
134
Page 150
Los archivos de Microsoft Office pueden contener código malicioso en forma de macros. si un documento de oficina
la extensión termina con un .m, puede contener macros (por ejemplo, .docm, .xlsm y .pptm). Ten cuidado
no ejecutar macros de oficina enviados por remitentes desconocidos.
finalmente, no abra archivos zip protegidos con contraseñas (generalmente se envía una contraseña en el cuerpo
del correo electrónico). los atacantes usan este truco para evitar que el software antivirus investigue
archivo comprimido cifrado, que puede contener malware listo para ejecutarse después de abrirse.
Implementar una política de clasificación de datos

Una política de clasificación de datos ayuda a una organización a clasificar sus activos de datos digitales
(por ejemplo, archivos, bases de datos, etc.) en grupos, otorgando a cada grupo un permiso de acceso especial
y ubicación de almacenamiento. Esto reducirá efectivamente los riesgos generales de la organización al
centrando el esfuerzo de protección en salvaguardar los datos más críticos.
Los datos se pueden clasificar en el momento de la creación utilizando métodos simples como insertar
una etiqueta de clasificación en los metadatos del archivo (ver Figura 5-5) o utilizando datos dedicados
solución de clasificación, que es más atractiva para las grandes empresas. La clasificación de datos será
ayudar a una organización a determinar los mejores controles de seguridad necesarios para proteger sus datos.
135
Page 151
Figura 5-5. Insertar una nueva etiqueta de metadatos en un documento de Microsoft Word para
categorizar un archivo de tema como Sensible
Aplicar requisitos de contraseña segura

La elección de contraseñas por parte de las personas sigue planteando un gran riesgo de seguridad. Asegurate que
imponga contraseñas seguras a sus usuarios para proteger sus cuentas al usar el control remoto
Servicios de gestión y herramientas para compartir archivos. Aquí hay algunos consejos para crear seguridad
contraseñas
• La contraseña debe tener al menos 15 caracteres de longitud.
• La contraseña debe contener al menos una letra minúscula, una

letra mayúscula, un número y un símbolo (por ejemplo, #,%, &).
136
Página 152
• La contraseña no debe ser su nombre de usuario, el de su cónyuge ni su familia.

nombres de miembros (incluido su nombre), o el nombre de su mascota o cualquier
Parte de ello.
• No use su género o fecha / lugar de nacimiento como parte de su contraseña.
• No utilice la misma contraseña para dos cuentas (tenga dos correos electrónicos con
la misma contraseña)
• No use nombres de lugares o nombres de personas famosas para su

contraseña.
• Cambie su contraseña una vez al mes y no use la misma.

contraseña de nuevo.
• No permita que su navegador web guarde sus contraseñas ingresadas.
• Implemente la autenticación de dos factores cuando corresponda.
• Use un administrador de contraseñas para organizar y proteger sus contraseñas

como KeePass Password Safe (https://keepass.info ) y
Contraseña segura (https://pwsafe.org)
• Use herramientas de generación de contraseñas para crear contraseñas complejas y seguras

que puede ser difícil o imposible de descifrar usando fuerza bruta,
diccionario o ataques de adivinanzas. Los programas de administrador de contraseñas tienen un
función de generación de contraseña incorporada; también puedes usar un dedicado
programa para este propósito como PWGen ( http: // pwgen-win.
sourceforge.net)
Implementar una política de restricción de uso de software

Instalar soluciones de seguridad para puntos finales y perímetros de red no es suficiente para
proteger contra ataques de ransomware. Deberías tener otra línea de defensa en caso de que
El ransomware logra llegar a dispositivos de punto final. La lista blanca de aplicaciones es
Una técnica proactiva para evitar todo tipo de aplicaciones (cualquier archivo ejecutable)
ejecutando en máquinas de usuario final. En tal escenario, solo un pequeño conjunto de aplicaciones
definido por el administrador de TI puede ejecutarse de forma predeterminada; Todas las demás aplicaciones están prohibidas.
Obviamente, dicha restricción se considera la medida más efectiva para defender
contra malware desconocido que aún no se ha descubierto, además de otras amenazas
que aprovechan las vulnerabilidades de día cero para colarse.
137
Page 153
En entornos Windows, hay dos mecanismos de seguridad integrados para implementar

políticas de control de aplicaciones en toda la empresa: SRP y AppLocker. Controlando
qué código ejecutable está permitido o prohibido ejecutar en un punto final,
las empresas pueden mejorar significativamente la seguridad al prevenir malware desconocido,
incluyendo ransomware, desde la ejecución en dispositivos de punto final.
En el capítulo anterior, hablé sobre SRP, que se puede configurar para trabajar en
tanto máquinas locales como de dominio, y cómo puede usarlo para crear un Windows restrictivo
entorno para controlar la ejecución de aplicaciones y scripts no confiables. En esto
capítulo, cubro el segundo mecanismo de seguridad para la lista blanca de aplicaciones, presentado
con versiones recientes de Windows (comenzando en ciertas ediciones de Windows 7), llamadas
AppLocker
¡Nota! Windows tiene un tercer mecanismo de seguridad para la lista blanca de aplicaciones
denominado Control de aplicaciones de Windows Defender (wDaC). wDaC viene con más
características avanzadas que srp y appLocker. por ejemplo, puede bloquear el ejecutable
archivos en el nivel del núcleo e implementar la lista blanca de aplicaciones más estrictamente. en
Además, a partir de Windows 10 versión 1703, wDaC se puede configurar para
controlar qué complementos se permiten / prohíben ejecutar en una aplicación específica.
wDaC se usa principalmente en un contexto empresarial donde el departamento de TI especifica
qué aplicaciones pueden ejecutarse en dispositivos de punto final de acuerdo con la empresa
Política de seguridad predefinida.
Windows AppLocker
Microsoft lanzó AppLocker como la próxima generación de la tecnología SRP; Viene
con muchas mejoras que superan SRP, como las siguientes:
• Puede asignar una regla a usuarios / grupos específicos.
• Se pueden definir reglas separadas para cada tipo de archivo ejecutable

(por ejemplo, una regla para instaladores y otra para scripts).
• Tiene un modo de auditoría para que pueda probar la política antes de aplicarla.
• Puede exportar reglas aplicadas a XML para poder usarlas

en algún otro lugar.
138
Page 154
AppLocker restringe los ejecutables en función de los siguientes cuatro tipos de reglas: ruta
reglas, reglas de hash de archivo, reglas de editor y reglas de aplicaciones empaquetadas. Al igual que SRP, AppLocker puede
configurarse tanto en una máquina local (usando el Editor de directivas de grupo local) como en Grupo
Política (mediante la Consola de administración de directivas de grupo).
Para configurar AppLocker en una máquina local con Windows 10, haga lo siguiente:
1. Vaya al menú Inicio de Windows y escriba gpedit.msc para iniciar el

Editor de directivas de grupo de Windows.
2. Navegue a Configuración de la computadora Settings Configuración de Windows ➤

Configuración de seguridad Policies Políticas de control de aplicaciones ➤ AppLocker
y seleccione "Configurar la aplicación de reglas" (ver Figura 5-6)
Figura 5-6. Acceso a la configuración de AppLocker en Windows 10
139
155 de 1189.
3. Seleccione Configurado en "Reglas ejecutables" y luego haga clic en Aceptar

(Ver Figura 5-7 ).
Figura 5-7. Acceder a las propiedades de aplicación de reglas de AppLocker; en mi caso soy
crear reglas para aplicaciones ejecutables
140
Page 156
4. Haga clic con el botón derecho en Reglas ejecutables en AppLocker en el panel izquierdo y
luego haga clic en Generar reglas automáticamente (ver Figura 5-8)
Figura 5-8. Generando automáticamente reglas de aplicación para todos los ejecutables usando
AppLocker
¡Nota! seleccione Crear reglas predeterminadas (figura 5-8 ) para crear reglas predeterminadas donde
los usuarios solo pueden ejecutar aplicaciones en C: \ Archivos de programa o ventanas
carpetas
5. Aparece una nueva ventana donde puede seleccionar la carpeta que

contiene las aplicaciones que desea permitir ejecutar. Escribe un
nombre para identificar este conjunto de reglas (ver Figura 5-9 ). Haga clic en Siguiente para
Seguir.
141
Page 157
Figura 5-9. Seleccionar la carpeta que contiene las aplicaciones que desea permitir
ejecutar y dar un nombre para identificar este conjunto de reglas
6. Luego aparece la ventana de Preferencias de Regla (ver Figura 5-10) Salir

las opciones predeterminadas tal como están y haga clic en Siguiente para continuar.
142
Page 158
Figura 5-10. La configuración predeterminada en Preferencias de regla debe estar bien
7. AppLocker puede necesitar algo de tiempo para generar todas las reglas
según el número de aplicaciones en la carpeta especificada.
Después de terminar, aparece la página Revisar reglas; haga clic en Crear
botón para crear las reglas especificadas y cerrar el asistente.
8. Aparece un mensaje emergente (consulte la Figura 5-11 ); presione Sí para continuar.
143
Page 159
Figura 5-11. Crear reglas predeterminadas haciendo clic en Sí para que los archivos importantes del sistema
aún puede ejecutarse (permitir la ejecución de aplicaciones en Windows y Archivos de programa
carpetas)
9. Las reglas aparecerán en el panel derecho de las Reglas ejecutables

opción (ver Figura 5-12 )
Figura 5-12. Las primeras tres reglas son las reglas predeterminadas, y la última es la carpeta
especificado que contiene las aplicaciones incluidas en la lista blanca
144
160 de 1189.
10. Si desea cambiar el usuario o grupos de usuarios que una regla específica
se aplica a, haga clic derecho en la regla y seleccione Propiedades (ver Figura 5-13)
Figura 5-13. Cambiar la asignación de reglas para usuarios / grupos de usuarios
11. Finalmente, antes de que AppLocker haga cumplir las reglas, la Aplicación
El servicio de identidad debe iniciarse en cada dispositivo. Para comenzar el
Servicio de identidad de la aplicación, vaya a Herramientas administrativas ➤
Servicios identity Identidad de la aplicación y haga clic en el botón Inicio. Hacer
asegúrese de cambiar el tipo de inicio a Automático.
12. Reinicie el dispositivo y ¡listo!
NOTAS SOBRE EL USO DE APPLOCKER
• el control de la aplicación appLocker está destinado a aplicarse al estándar

usuarios, no cuentas de administrador.
• appLocker debe usarse junto con la cuenta de usuario
Control (UaC).
• asegúrese de instalar los programas predeterminados necesarios para su trabajo en
las carpetas C: \ Program Files o C: \ Program Files (x86).
145
Page 161
Esta fue una introducción rápida a la configuración de AppLocker para controlar la aplicación
ejecución. La implementación de una tecnología de lista blanca de aplicaciones como AppLocker
ayudar de manera efectiva a las empresas a reducir los riesgos de seguridad cuando se ejecuta un usuario desprevenido
software malicioso sin darse cuenta.
Seguridad DNS
Ya cubrí diferentes soluciones y servicios de seguridad para bloquear el malware,
ransomware y otros sitios web maliciosos (por ejemplo, sitios web de phishing). Sin embargo, como
mencionado, una solución no es suficiente para mitigar tales amenazas. El enfoque preferido
es tener múltiples líneas de defensa para detener estos ataques y usar servidores DNS seguros para
uso tanto individual como corporativo. Esto agregará una capa adicional de protección a su
defensa contra ransomware.
Ransomware utiliza el Sistema de nombres de dominio (DNS) en diferentes etapas de un
ataque. Por ejemplo, el reconocimiento de DNS se usa durante los ataques dirigidos para obtener información
sobre la red de la empresa objetivo, como subdominios y servidores web. DNS es también
utilizado en el proceso de entrega de campañas de correo electrónico no deseado que llevan ransomware. Muchos
Las cepas de ransomware necesitan usar DNS para comunicarse con un servidor C&C. Por lo tanto,
El uso de servidores DNS seguros para bloquear actividades maliciosas es crucial para mitigar, detectar y
responder a tales ataques más rápidamente.
Existen diferentes proveedores de bloqueo de amenazas basados en DNS que ofrecen protección contra
malware, ransomware y tienen capacidades anti-phishing. Los siguientes son los más
los populares:
• OpenDNS (https://www.opendns.com ), 208.67.222.222 a

208.67.220.220
• Comodo ( https://www.comodo.com/secure-dns ), 8.26.56.26 a

8.20.247.20
• Yandex.DNS ( https://dns.yandex.com/advanced), 77.88.8.88 a

77.88.8.2
• Quad9 ( https://www.quad9.net), 9.9.9.9
Las empresas deberían considerar tener un servidor DNS interno seguro o suscribirse a un
servicio DNS comercial de bloqueo de amenazas con capacidades más avanzadas que el servicio gratuito
proveedores para la máxima protección.
146
Page 162
¡Advertencia! Tenga en cuenta que los proveedores de Dns pueden interceptar toda su navegación web
historia. para tareas de misión crítica en una empresa, considere la implementación de un sistema autohospedado
servidor Dns que bloquea las amenazas.
Desinfección de datos
Los archivos adjuntos de correo electrónico y los archivos descargados de Internet se usan comúnmente como
Un vehículo para transportar código malicioso. Desinfección de datos (también conocida como desarme de contenido
y reconstrucción [CDR]) es una tecnología protectora anti-malware que asume todo
los archivos que ingresan a la red empresarial son maliciosos y eso funciona para desinfectar cada archivo
(eliminar código potencialmente malicioso) antes de pasarlo al dispositivo de punto final. Utilizando
un sistema de desinfección de datos en todos los puntos de entrada, como archivos adjuntos de correo electrónico, para web
descargas del navegador, e incluso en computadoras de punto final para desinfectar archivos transportados dentro de
Los dispositivos USB son una medida de protección esencial contra malware desconocido y otros
ataques avanzados que explotan vulnerabilidades de día cero.
¡Nota! Según Gartner, "a medida que mejoran las técnicas de evasión de sandbox de malware,
El uso de contenido desarmado y reconstrucción (CDr) en la puerta de enlace de correo electrónico como
aumentará el suplemento o la alternativa al sandboxing ".3
Gobierna el uso de la unidad USB

Como se mencionó en el capítulo anterior, se recomienda que evite enchufar
dispositivos USB no confiables en su máquina de trabajo o hogar. En un contexto empresarial,
a veces necesitará usar dispositivos USB para transferir datos desde una red menos segura
al repositorio del servidor de archivos ubicado en una red confiable. Usar dispositivos USB en
las empresas no pueden ser prohibidas por completo; sin embargo, algunas medidas de seguridad deberían ser
implementado primero para mitigar los riesgos asociados con los dispositivos USB.
3 Gartner, "Avanzando en su programa antiphishing", mayo 19,2019https://www.gartner.com/

imagesrv / media-products / pdf / mimecast / Mimecast-1-4QT9Y3H.pdf
147
Page 163
• Todos los dispositivos USB deben analizarse primero en busca de malware en un entorno aislado
máquina antes de conectarlos a la red empresarial.
• Evite enchufar dispositivos USB directamente en dispositivos de punto final cuando

desea transferir archivos. En su lugar, cargue los archivos necesarios de un usuario
Dispositivo USB en un repositorio central de archivos donde puede acceder a ellos
a través de una red compartida.
• Aplicar una política de uso de USB. Por ejemplo, permitir / prohibir el uso de USB
dispositivos basados en el rol del empleado en la empresa. La mayoría del personal
no necesita llevar aplicaciones ejecutables con ellos, por lo que
Los tipos de archivo deben estar bloqueados. Por otro lado, PDF y Microsoft
Los archivos de Office se usan comúnmente como vectores de ataque para transportar ransomware.
Estos tipos de archivos se utilizan ampliamente en organizaciones empresariales, por lo que
debería considerar desinfectar tales tipos de archivos para eliminar cualquier potencial
código malicioso antes de abrirlos en dispositivos de punto final.
Mantener una estrategia efectiva de respaldo y recuperación

La protección más importante contra los ataques de ransomware es tener un sistema robusto
estrategia de respaldo y recuperación de datos empresariales. Las empresas deben centrarse en
copia de seguridad de los datos más críticos para las funciones comerciales. Las copias de seguridad deben almacenarse
en un sistema separado (por ejemplo, segmento de red separado) al que no se puede acceder
en línea. Medios de respaldo (ya sea un servidor de respaldo de red o una unidad extraíble)
no debe permanecer permanentemente conectado al sistema que se realizó una copia de seguridad para evitar
infectarlo en el caso de un ataque de ransomware exitoso que tenga lugar. Debieras
También considere tener varias copias de su copia de seguridad (al menos tres copias, con una
de ellos fuera del sitio).
Una copia de seguridad en la nube se puede considerar una opción segura porque se encuentra fuera de su
red; sin embargo, debe evitar hacer una copia de seguridad continua de los datos en tiempo real
nube, ya que algunas cepas de ransomware tienen la capacidad de cifrar copias de seguridad en la nube.
Recuerde, si un ataque de ransomware golpea su red, debería considerar detener cualquier
haga una copia de seguridad de inmediato para evitar hacer una copia de seguridad de los datos cifrados.
Para concluir, el servidor de respaldo local debe estar aislado de su funcionamiento normal
entorno y debe conectarse a la red solo durante el período de respaldo. los
El servidor de respaldo también debe tener un sistema operativo reforzado (preferiblemente un Linux
148
Page 164
variante), ya que se sabe que Windows es un objetivo común para los ataques de ransomware. Datos
las copias de seguridad se deben realizar cada hora en el servidor de copias de seguridad local, y luego cada noche
a otro servidor de respaldo remoto que permanece en línea solo durante el respaldo; un tercio
la copia de seguridad se debe realizar semanalmente en un medio de almacenamiento extraíble (por ejemplo, una unidad de cinta).
La integridad de los archivos de respaldo debe verificarse continuamente para asegurarse de que todos los archivos críticos
la información ha sido respaldada; También es importante probar el proceso de recuperación
regularmente para garantizar una alta disponibilidad en caso de que la necesite.
Prevención de pérdida de datos

La prevención de pérdida de datos (DLP) es una tecnología utilizada para evitar que los usuarios tengan fugas o
incluso destruyendo información confidencial fuera de una organización. El objetivo principal de un
La solución DLP es monitorear el flujo de datos dentro de una organización a través de todos los dispositivos electrónicos.
canales de comunicación como correo electrónico, mensajería instantánea, transferencia de archivos, formularios web,
unidades USB portátiles y cualquier otro medio para detener la fuga de información fuera de un
red de la organización.
DLP funciona de acuerdo con una política de seguridad predefinida establecida por una organización o por
un organismo de cumplimiento normativo como HIPAA o GDPR. Una solución DLP detectará cualquier
violación de las reglas aplicadas de inmediato e implementar medidas de protección (por ejemplo, enviar un
alerta, cifrando datos o finalizando la sesión) para evitar que los usuarios intencionalmente o
Filtrando accidentalmente información confidencial.
Un DLP monitorea datos en tres estados.
• Los datos en reposo son cuando los datos residen en unidades de almacenamiento como
bases de datos y servidores de repositorio de archivos.
• Los datos en tránsito son cuando los datos se mueven a través de la red corporativa.
y / o a redes externas como Internet usando correo electrónico, web
formularios o el tráfico generado por software malicioso.
• Los datos en uso son cuando los datos se procesan en dispositivos de punto final. Un usuario puede
filtrar datos mediante unidades USB, correo electrónico, FTP, transferencias de archivos a la nube,
y así.
La otra tarea principal de una solución DLP es evitar la pérdida de datos. En un ataque de ransomware,
los datos están encriptados y a los usuarios legítimos se les niega el acceso. La recuperación de cifrado
los datos pueden ser imposibles en muchos casos (por ejemplo, no puede recuperar archivos cifrados con
149
Page 165
el ransomware NotPetya, incluso si paga el rescate). Este ataque de ransomware cae

bajo pérdida de datos. Las soluciones DLP pueden ayudar contra los ataques de ransomware al informar a los
Administrador de TI temprano sobre cualquier tráfico inusual o un cambio de datos almacenados (por ejemplo, comenzar
cifrado) y puede alertar al administrador para aislar la máquina o red infectada
segmento.
DLP se basa en los derechos de acceso y una política de clasificación de datos definida por un
organización para hacer cumplir sus normas sobre los usuarios finales.
Herramientas para medir la efectividad de sus defensas

Después de haber instalado todas las soluciones de seguridad necesarias y seguido todas las medidas
Para detener el ransomware y otros tipos de malware, es recomendable probar continuamente
defensas para medir su efectividad contra amenazas reales y cerrar cualquier nueva
vulnerabilidad. En esta sección, mencionaré algunas herramientas y servicios para probar la seguridad.
software y otras defensas de red contra ataques del mundo real.
• Spyshelter (https://www.spyshelter.com/security-test-tool):
Prueba el software de seguridad instalado para verificar su efectividad
malware que roba información.
• RanSim ( https://www.knowbe4.com/ransomware-simulator):
Descubre qué tan vulnerable es tu red contra el ransomware
y ataques de criptominería. Actualmente, simula 15 ransomware
escenarios de infección y un escenario de infección de cripto-minería.
• Wicar (https://www.wicar.org/test-malware.html): Prueba su

software antivirus / antimalware.
• Testmyav ( https://testmyav.com): Prueba su instalado

software antivirus.
• FortiGuard ( https://www.geckoandfly.com/24644/test-
seguridad antivirus): Prueba si la seguridad de su red puede capturar
malware oculto en un archivo comprimido.
150
Page 166
Hacer cumplir una política de seguridad

He cubierto casi todo tipo de soluciones de seguridad y dispositivos para proteger contra
ransomware y otros tipos de malware, como productos antivirus, firewalls, IPS,
antispam, sandboxing, DLP y CDR. Sin embargo, las herramientas de seguridad no son suficientes para
mitigar y detener los ataques de ransomware. Hacer cumplir las políticas de seguridad dentro de una organización
es esencial para protegerlo de amenazas internas y externas y asegurar su
cumplimiento de diversas normativas.
Una política de seguridad es un conjunto de reglas y procedimientos aplicados por una organización en
sus empleados cuando usan sus sistemas de TI para mantener la seguridad de sus activos de TI y
recursos Toda persona dentro de una organización debe comprender sus obligaciones para
proteger datos y activos de TI. Una política de seguridad debe incluir sanciones cuando alguien falla
para cumplir con su normativa.
Una política de seguridad debe escribirse en un estilo simple con una jerga técnica mínima
y definir en términos de alto nivel las mejores prácticas de seguridad para salvaguardar la organización
datos y el sistema de TI de actores maliciosos y divulgación accidental de información confidencial
información. Una política debe definir su alcance; por ejemplo, una política puede aplicarse a todos
empleados, contratistas y socios que acceden al sistema de TI de la organización o visitan
Sus instalaciones físicas.
Elementos principales de un documento de política de seguridad

Las siguientes son las áreas más importantes que deben incluirse en cualquier seguridad
política:
• Política de contraseñas : define los requisitos para crear una fuerte

contraseñas y utilizarlas correctamente en términos de uso y almacenamiento.
• Política de uso del correo electrónico : define las reglas y restricciones impuestas a
usuarios cuando usan el sistema de correo electrónico de la organización.
• Política de uso de Internet : define reglas y pautas para

Uso apropiado del acceso a Internet de la organización. (Por ejemplo,
antes de implementar una solución de firewall, debe conocer el
política de uso de Internet de la organización para aplicarla a través de este dispositivo).
• Política de dispositivos móviles propiedad de la organización : define reglas sobre

uso apropiado de dispositivos móviles propiedad de la organización.
151
Page 167
• Política de dispositivo móvil propiedad de los usuarios : define las reglas y

limitaciones en los empleados que conectan sus propios dispositivos móviles a
infraestructura de TI de la organización.
• Política de acceso remoto : define reglas y restricciones al acceder

El sistema informático de una organización de forma remota. (Por ejemplo, un usuario debe
conectarse a través de una conexión VPN segura).
• Política de privacidad de datos : define las responsabilidades de los empleados en

mantener el secreto de la información del cliente de conformidad con
aplica regulaciones nacionales e internacionales.
• Política de uso de redes sociales : define reglas y limitaciones y

proporciona pautas para los empleados cuando publican contenido en línea,
ya sea como parte de su trabajo o como entidad privada.
• Política de clasificación de datos : define reglas para establecer un

marco que clasifica los datos en grupos según su sensibilidad
al trabajo de organización.
• Política de violación de datos : define cómo reaccionará una organización

(procedimientos de notificación) cuando se produce una violación de datos de acuerdo
con las leyes aplicadas
• Política de administración de parches : define los controles de parches (actualización)

y restricciones para reducir las amenazas cibernéticas que afectan la TI de una organización
sistema manteniéndolos actualizados y actualizados.
• Política de gestión de vulnerabilidades : define procedimientos para

realizar exploraciones periódicas de los sistemas de TI de una organización para descubrir
vulnerabilidades y trabajo para solucionarlos adecuadamente.
• Política de cifrado de datos : proporciona orientación sobre el uso del cifrado

técnicas y protocolos para asegurar datos en reposo y en tránsito en
de acuerdo con las regulaciones estatales.
• Política de eliminación de datos : proporciona pautas para destruir datos sensibles /

Datos confidenciales de forma segura.
• Política de seguridad física : define los protocolos de acceso para los empleados.
y visitantes que ingresan a las instalaciones de la organización para evitar que no estén autorizados
personas de obtener datos confidenciales.
152
Page 168
• Política de capacitación en concientización de seguridad : define la capacitación

requisitos de los empleados en relación con la seguridad de TI para mantener un
alto nivel de conciencia de seguridad, para que todo el personal sepa qué datos son más
crítico para el trabajo de su organización y saber cómo protegerlo.
¿Por qué necesita una política de seguridad?

Una política de seguridad es un elemento importante para cualquier organización que opere en la actualidad.
era de la información y que desean asegurar su entorno de trabajo tanto interno como interno
amenazas externas Independientemente del tamaño de una organización, tener una política de seguridad es
esencial para abordar todas las posibles amenazas de seguridad y sugerir contramedidas
antes de que ocurran. Toda organización necesita una política de seguridad por los siguientes motivos:
• Una política de seguridad ayuda a una organización a identificar los factores de riesgo.
en su trabajo Por ejemplo, el uso de contraseñas débiles puede provocar
comprometer las cuentas de correo electrónico de los empleados y, en consecuencia, filtrar
información sensible.
• Proporciona pautas sobre el uso aceptable de Internet, correo electrónico

sistema y otros dispositivos digitales dentro de una organización.
• Aumenta la eficiencia de la operación al seguir procedimientos seguros para

realizar el trabajo diario Esto dará como resultado un ahorro de tiempo y recursos y
eventualmente dinero!
• Ayuda a los empleados de la organización a adquirir conocimientos de seguridad de TI, por lo tanto
Fortalecer una defensa de la organización contra los más prevalentes
ciberataques como ransomware y otros tipos de malware.
• ¡Aumenta los ingresos! Una organización que tiene una fuerte política de seguridad.
en el lugar puede obtener más acuerdos y acuerdos de asociación, como lo hará
posicionarse en el mercado como una entidad confiable que puede proteger a otros
datos de proveedores al trabajar con ellos.
• Una política de seguridad también aumentará la confianza de los clientes (por ejemplo,
asegurar la privacidad de sus datos personales), haciéndolos más dispuestos
hacer negocios con la organización.
• Puede minimizar las amenazas internas, como las fugas de datos y las corporaciones.
espionaje debido a los controles de seguridad forzados.
153
Page 169
• El error humano sigue siendo la principal amenaza para cualquier organización.

a través de ataques de phishing. Hacer cumplir una política de seguridad reducirá esto
riesgo, ya que habrá pautas y sanciones sobre cualquier inaceptable
comportamiento realizado por empleados que puede conducir al robo de datos,
fugas de información o infecciones de malware.
• Finalmente, tener una política de seguridad simplificará el cumplimiento del estado,

regulaciones federales e internacionales de protección de datos y privacidad.
Una política de seguridad proporciona un marco para manejar todos los aspectos de seguridad de un
organización y para definir las reglas que deben seguir todos los empleados para proteger
El activo de TI de una organización. Al redactar una política de seguridad para una organización, considere
funciones comerciales actuales, estructura organizacional, cultura organizacional y disponible
presupuesto. No escriba algo en su política que no pueda hacer cumplir. Por ejemplo,
prohibir el uso de dispositivos USB en su entorno corporativo no tiene valor si lo hace
no tiene las herramientas técnicas necesarias para detener dichos dispositivos.
Resumen
Nadie está aislado del riesgo de ataques de ransomware. Del usuario doméstico individual
a PYMES hasta las instituciones más grandes y agencias gubernamentales, ataques de ransomware
están aumentando en complejidad y son cada vez más capaces de explotar la red
y vulnerabilidades del sistema. En este capítulo, cubrí el lado empresarial de la protección
contra ransomware y otros ataques de malware. Redes corporativas y gubernamentales
tener una gran superficie de ataque, y protegerla requiere un plan de seguridad integral que
emplea una estrategia de defensa en profundidad donde se implementan varios mecanismos de defensa
tanto en la red como en los dispositivos de punto final para proteger la infraestructura y la información de TI.
Se necesitan diferentes software, herramientas y dispositivos de seguridad para proteger a las empresas
redes de ataques de ransomware. No existe una solución única para detener estos ataques, pero
utilizando el software de seguridad y los dispositivos de seguridad de red adecuados y aplicando la seguridad
las reglas de política ciertamente reducirán este riesgo.
Instalación de soluciones de seguridad en puntos finales y uso de diversos dispositivos de seguridad en el
El perímetro de la red no es suficiente para defenderse de los ataques de ransomware. Un usuario final
la capacitación en concientización sobre ciberseguridad desempeña un papel crucial para determinar si un
El ataque de ransomware tendrá éxito, y esto es lo que cubro en el próximo capítulo.
154
Page 170
CAPÍTULO 6
Conciencia de seguridad
Formación
Mejores prácticas para implementar una conciencia de seguridad
Programa de entrenamiento
La ciberseguridad se ha convertido en un importante tema de discusión en estos días. Casi todos los días un
El nuevo ataque cibernético a una corporación, gobierno u otra entidad está en las noticias porque
resultó en millones de registros de clientes expuestos, credenciales robadas y
ataques de ransomware. Los cibercriminales se han vuelto cada vez más sofisticados y
Las amenazas de ciberseguridad se han intensificado rápidamente en los últimos años. Organizaciones empresariales y
Las agencias gubernamentales se han dado cuenta de la importancia de educar a sus empleados sobre
amenazas de ciberseguridad para salvaguardarlos.
Todos los estudios de seguridad relacionados con la infección por ransomware y otras infracciones de datos.
concluir que el error humano sigue siendo y seguirá siendo la mayor amenaza para
la seguridad cibernética. Tener un programa de concientización de seguridad cibernética en su organización es vital
para sobrevivir en la era digital de hoy y se considera la mejor manera de prevenir el ransomware
ataques y otras amenazas que emanan de todo el mundo.
Un buen programa de concientización sobre seguridad cibernética educará a los empleados sobre las diferentes
ciberamenazas que pueden enfrentar al usar el sistema de TI de una organización y cómo mitigar
y responder a estas amenazas. Todos los empleados deben saber qué puntos de entrada atacan
pueden usar para acceder a su red empresarial y qué pasos de precaución deben seguir
para evitar el acceso no autorizado a los activos de información. El programa de concientización de seguridad.
también debe hacer cumplir las reglas de política de seguridad de una organización y aclarar la seguridad de TI
responsabilidad de cada empleado de acuerdo con su rol laboral en la protección de la organización
activos de información y sistemas informáticos.
155
Página 171
CAPÍTULO 6 ENTRENAMIENTO DE SEGURIDAD DE SEGURIDAD
En este capítulo, analizo la importancia de contar con capacitación en concientización de seguridad en

cualquier organización, qué temas deben incluirse en dicho programa de capacitación y cómo
para mitigar las amenazas más comunes contra sistemas computarizados que explotan humanos
errores, en otras palabras, ataques de ingeniería social (SE).
Importancia de la capacitación en concientización sobre seguridad

Toda persona en cualquier organización que tenga acceso a su sistema de TI o tenga un correo electrónico
la cuenta debe recibir capacitación adecuada en ciberseguridad. Tal entrenamiento es importante en
protegiendo a su organización de actores maliciosos que intentan obtener acceso no autorizado
a sus activos de información. Los siguientes son los principales beneficios de conducir seguridad
Formación de sensibilización en su organización.
Reduce las brechas de datos y los ataques

Un informe publicado por el Instituto Ponemon y patrocinado por Keeper Security encontró que
los empleados negligentes son la mayor debilidad número uno cuando se trata de ciber
amenazas (especialmente cuando se trata de ransomware) para pequeñas y medianas empresas
(PYMES) en América del Norte y el Reino Unido. 1
Educar a los empleados sobre los peligros de abrir archivos adjuntos de correo electrónico de
fuentes desconocidas y hacer clic en enlaces sospechosos en correos electrónicos no deseados reducirán en gran medida la
cantidad de violaciones de datos que sufren la mayoría de las organizaciones.
¡Nota! Una violación de datos es cualquier incidente de seguridad que conduce a exponer personal
información de identificación (PII) de individuos a una parte externa. PII incluye el
siguiente y más:
• Números de seguro social
• Números de tarjeta de crédito

• Cuentas financieras
1 Keepersecurity, “2017 State of Cybersecurity in Small and Medium-Size Businesss (SMB)”

22 de octubre de 2019 https://keepersecurity.com/assets/pdf/Keeper-2017-Ponemon-Report.pdf
156
Page 172
• Información de salud protegida

• nombres de usuario / contraseñas
• Números de licencia de conducir
el Centro de recursos de robo de identidad (https://www.idtheftcenter.org/data-

infracciones ) mantiene una lista actualizada de infracciones de datos en todo el mundo desde 2005.
Cumple con los requisitos de cumplimiento
La capacitación en concientización de seguridad se vuelve obligatoria en muchas industrias para cumplir con
leyes gubernamentales o con otros organismos de cumplimiento no oficiales que trabajan para promover
mejores prácticas de seguridad de la información en su industria específica. Por ejemplo, la salud
La Ley de Portabilidad y Responsabilidad de Seguros (HIPAA) exige que todas las organizaciones
trabajando en el sector de la salud (incluidas las oficinas de los médicos) implementar una seguridad
programa de capacitación para todos los miembros del personal para proteger la información del paciente. los
El estándar de seguridad de datos de la industria de tarjetas de pago (PCI-DSS) también impone
capacitación en conciencia de seguridad para todo el personal que trabaja en compañías financieras que almacenan y
procesar información financiera del cliente.
¡Nota! Hay miles de normas locales, estatales y federales que su

La organización necesita cumplir. Las reglas más comunes que requieren un
la organización para tener un programa de concientización de seguridad se puede encontrar en
https://www.knowbe4.com/resources/security-awareness-
requisitos de conformidad/.
Mejora la seguridad general de la organización y aumenta

Su reputación
Cuando los empleados se dan cuenta de los diferentes vectores de ciberataque y cómo evitar
ellos, su organización estará menos expuesta a amenazas cibernéticas y violaciones de datos,
y esto en consecuencia elevará su reputación y hará que los clientes estén más dispuestos a negociar
con él porque saben que sus registros personales están almacenados en manos seguras.
157
Page 173
Aumenta la efectividad de las defensas tecnológicas

Tener firewalls, sistemas de prevención de intrusiones (IPS), software antivirus, antimalware
los programas y otras soluciones de seguridad son excelentes para proteger contra ataques de malware;
sin embargo, sin las habilidades de seguridad de TI requeridas, los empleados no pueden beneficiarse de estas
soluciones Por ejemplo, su solución de firewall puede enviar notificaciones sobre sospechas
actividad, y su sistema operativo puede pedirle que instale las actualizaciones de seguridad requeridas. Si tales advertencias
son manejados incorrectamente o ignorados por el usuario final, las soluciones tecnológicas no
hacer su trabajo correctamente
Evita pérdidas por incidentes de seguridad

Un ataque de ransomware exitoso puede costar una cantidad considerable a una organización afectada
de tiempo y dinero para recuperar y restaurar sus operaciones normales. Obviamente, sin
incluso pagando el rescate, una compañía víctima puede perder una gran suma de dinero y dañar su
reputación debido a la interrupción del negocio.
Aumenta la satisfacción de los empleados

En la era digital de hoy, los empleados están dispuestos a adquirir las habilidades de ciberseguridad necesarias
para mejorar su carrera y sentirse seguros en el trabajo además de asegurar su personal
privacidad digital fuera del trabajo. Llevar a cabo una capacitación de concientización sobre seguridad aumentará
satisfacción de los empleados, haciéndolos más dispuestos a permanecer con su empresa actual.
Mejores prácticas al desarrollar una ciberseguridad
Programa de concientización
Tener un programa de capacitación sobre conciencia de seguridad demostrará que su organización
está tomando en serio su seguridad. Además de ser requerido por muchos organismos de cumplimiento,
un programa de capacitación sobre conciencia de seguridad se convierte en la línea de defensa más importante de un
estrategia de defensa en profundidad para asegurar los datos de una organización tanto interna como interna
ataques externos
158
Page 174
Hay muchas áreas que debe considerar al desarrollar una conciencia de seguridad
programa de entrenamiento para su organización. Por ejemplo, desarrollar un programa de seguridad
cumplir con el estándar PCI-DSS es algo diferente de uno implementado para
cumplir con HIPAA, aunque ambos tienen como objetivo proteger los datos del consumidor, ya sea salud
o registros financieros. En este capítulo, no me enfocaré en los requisitos de una seguridad
programa de concientización para una regla de cumplimiento específica. En cambio, el enfoque estará en el listado
Los componentes principales de un programa general de capacitación en concientización de seguridad que pueden ser
implementado en cualquier organización que use sistemas de TI.
Crear el equipo de conciencia de seguridad

El programa de capacitación de concientización de seguridad es un esfuerzo continuo que requiere un continuo
Monitoreo y actualizaciones. El primer paso para crear dicho programa de capacitación dentro de su
organización es establecer un equipo de liderazgo responsable del desarrollo, monitoreo,
e implementar el programa de capacitación de concientización sobre seguridad. Este equipo debería ser
reunidos de diferentes departamentos e incluyen personal con diferentes antecedentes de TI
(de principiante a profesional) para garantizar que su programa de capacitación sobre conciencia de seguridad
cubre todos los niveles de personal y cumple con sus demandas.
Determinar roles para la conciencia de seguridad

Un programa de capacitación sobre conciencia de seguridad debe enseñar a todos los empleados, desde el CEO hasta el departamento de TI
personal, sobre seguridad de TI y mejores prácticas para proteger los activos de información. Sin embargo,
No todo el personal tiene el mismo nivel de conocimiento o experiencia de TI. Por ejemplo, el
la capacitación en seguridad para un ingeniero de redes de TI es diferente de la de alguien en marketing
departamento que usa su computadora para acceder a la relación corporativa con el cliente
base de datos de gestión (CRM).
Sus materiales de capacitación sobre conciencia de seguridad deben adaptarse de acuerdo con cada
nivel de responsabilidad del empleado y su rol laboral en la organización. Por ejemplo tu
puede dividir a los empleados dentro de una organización en cuatro grupos principales según su trabajo
roles y asociar a cada grupo con la capacitación adecuada de concientización de seguridad.
159
175 de 1189.
• Nivel ejecutivo (CEO) : personas en este nivel (empleados de alto perfil

o el nivel C) generalmente no son expertos en tecnología. La mayor amenaza cibernética
contra ellos están los ataques de ingeniería social (especialmente el spear phishing
y la caza de ballenas). La capacitación a este nivel debe centrarse en
mitigando los ataques de ingeniería social con fácil de entender
ejemplos
• Departamento de TI : la capacitación del personal de TI debe ser más técnica.

y se centró en cómo mitigar y responder a incidentes cibernéticos.
Algunos materiales forenses digitales deben incorporarse a este
nivel, ya que esas personas deben saber cómo comportarse si una violación de datos o
Se produce un ataque de ransomware.
• Personal de gestión : en este nivel, capacitación general en concientización de seguridad

se requiere para enseñar los fundamentos de seguridad de TI y lo mejor
prácticas para evitar violaciones de datos. El personal de gestión también ha
otro rol, que es hacer cumplir la implementación de reglas de política de seguridad
Además de lo que aprenden de la capacitación de concientización sobre seguridad en
otros empleados
• Todo el personal : los materiales de capacitación deben adaptarse de acuerdo con sus
rol laboral general, principalmente mitigando correos electrónicos de phishing y siguiendo
política de seguridad al usar sus dispositivos informáticos para acceder a
red corporativa, consultar correos electrónicos o conectar dispositivos USB a
máquinas de trabajo
¡Nota! Adaptar los materiales del programa de capacitación de concientización de seguridad de acuerdo con
la función laboral del empleado dentro de una organización ahorrará la capacitación de sus empleados
tiempo y reduzca los costos de capacitación para su organización.
Temas cubiertos en la capacitación de concientización sobre ciberseguridad

El programa de capacitación de concientización de seguridad se puede entregar de varias maneras, como
e-learning (en línea), capacitación formal, correo electrónico, boletines, guías escritas y otros medios.
Los materiales deben cubrir todos los aspectos de ciberseguridad relevantes para el rol laboral de cada usuario para
tener el impacto más intenso en los empleados.
160
Page 176
Los siguientes son los temas principales que deben abordarse durante una conciencia de seguridad
programa de entrenamiento:
• Introducción a la ciberseguridad : introduzca la seguridad de la información y

por qué es importante tanto para individuos como para empresas. Identificar
amenazas actuales y diferentes vectores de ataque. Explicar los desafíos de
asegurando los sistemas de TI.
• Seguridad personal : la seguridad personal se ocupa de educar

usuarios finales sobre las mejores prácticas para asegurar sus cuentas personales y
dispositivos de punto final. Los temas de esta sección incluyen: selección de contraseña
criterios, utilizar contraseñas de forma segura durante el almacenamiento y uso, ataques
contra sistemas de encriptación (adquirir su contraseña / clave ilegalmente),
ataques de ingeniería social y cómo mitigarlos, personales
defensa de ciberseguridad y riesgos asociados con el uso de las redes sociales
sitios web (p. ej., revelando información confidencial sobre el trabajo y
vida personal que podría ser explotada por los atacantes).
• Seguridad informática : en esta sección, un usuario debe aprender cómo

diferenciar entre diferentes tipos de malware y cómo cada tipo
puede ser introducido al sistema; sobre la importancia de usar
varias soluciones de seguridad (p. ej., antivirus, antimalware, firewall) para
proteger dispositivos de punto final, red y otros puntos de entrada; y sobre
La importancia de crear copias de seguridad de los datos y asegurar los activos de datos
y SO utilizando técnicas de encriptación. La seguridad en la nube también debe ser
introducido en esta sección.
• Seguridad de Internet : este tema debe incluir el correo electrónico y el navegador web
riesgos de seguridad y cómo evitarlos, instalando complementos de seguridad
para que su navegador web mitigue algunos riesgos en línea (por ejemplo, bloquear
publicidad maliciosa y emergente), utilizando diferentes servicios para revelar
sitios web maliciosos, que usan una VPN para proteger su tráfico en línea, y
Comprender cómo los atacantes pueden explotar las vulnerabilidades del navegador web
para obtener acceso no autorizado y cualquier cosa relacionada con la seguridad en Internet.
161
Page 177
• Seguridad móvil : en esta sección, un empleado debe comprender

cómo los intrusos pueden explotar las redes WiFi para obtener acceso no autorizado,
Conozca los riesgos asociados con el uso de la tecnología móvil y
los dispositivos de Internet de las cosas (IoT), entiendan la política de seguridad
de una organización sobre el uso de dispositivos móviles personales en el trabajo,
aprenda a proteger su dispositivo móvil y aprenda a usar el
red WiFi pública de forma segura.
• Hacer cumplir las reglas de la política de seguridad : en el capítulo anterior, ya

cubrió la importancia de tener una política de seguridad para gobernar
El uso / acceso de los activos y recursos de TI de una organización.
La capacitación en concientización de seguridad debe enfocarse en educar a los empleados
sobre cómo implementar las reglas de la política de seguridad y aclarar cualquier imprecisión
señala si no saben cómo implementar las reglas en la realidad.
Materiales de referencia oficiales para desarrollar una seguridad

Programa de Entrenamiento de Conciencia
Hay muchas organizaciones gubernamentales y organismos de la industria que promueven la
desarrollo del programa de capacitación de concientización de seguridad y sugerir materiales de capacitación.
Los siguientes son los más populares:
• Publicación especial del Instituto Nacional de Normas y Tecnología.

800-50, "Creación de una conciencia de seguridad de la tecnología de la información
y programa de capacitación "( https://csrc.nist.gov/publications/
detalle / sp / 800-50 / final)
• ISO / IEC 27002: 2013, “Tecnología de la información - Seguridad

técnicas - Código de prácticas para los controles de seguridad de la información ”
(https://www.iso.org/standard/54533.html)
• Marco COBIT 5 (http://www.isaca.org/cobit/pages/

default.aspx )
162
Page 178
Contenido de capacitación sobre conciencia de seguridad

Ya cubrimos los temas principales que deberían incluirse en cualquier conocimiento de seguridad
programa de entrenamiento. La mayoría de estos temas se han cubierto en los capítulos anteriores.
Sin embargo, como has aprendido a lo largo del libro, las técnicas más comunes
para infectar con ransomware son correos electrónicos maliciosos (correo electrónico de phishing) y otras redes sociales
ataques de ingeniería. Por esta razón, el resto de este capítulo cubre con cierto detalle cómo
para reconocer y prevenir ataques de ingeniería social, especialmente phishing, que es
considerado el punto de partida para la mayoría de las infracciones de red y datos.
Ataques de ingeniería social

La ingeniería social, en el contexto de la seguridad de la información, es un tipo de ciberseguridad.
ataque que utiliza trucos psicológicos por teléfono, a través del contacto directo o en
mensajes de correo electrónico para convencer a los usuarios desprevenidos de revelar información confidencial sobre
ellos mismos (por ejemplo, credenciales de cuentas sociales, información financiera o detalles de tarjetas de crédito)
o sobre la empresa donde trabajan (por ejemplo, tipo de infraestructura de TI, puntos de entrada a
red de organización, tipo de defensas de seguridad establecidas). Muchos ataques SE tienen como objetivo engañar
una víctima en la instalación de software malicioso en su PC para obtener un control total sobre el
máquina dirigida y usarla para propagar la infección a otros lugares dentro de la red.
Los actores maliciosos usan tácticas SE que se basan en la explotación de errores humanos en lugar de
explotar vulnerabilidades del sistema y del software para obtener acceso no autorizado o infectar
con malware Obviamente, esto dificulta la predicción de tales ataques como nadie puede predecir
los comportamientos humanos en tales casos.
Hay dos tipos principales de ataques SE en términos del medio utilizado para lanzar el
ataque. El primero se basa en mensajes de correo electrónico y es más común, y el segundo
usa trucos telefónicos y en persona. Tenga en cuenta que un atacante puede usar ambos tipos para ganar
información útil sobre el objetivo antes de lanzar un ataque.
Ataques de phishing por correo electrónico

Un correo electrónico de phishing es un tipo de ataque SE que utiliza un mensaje de correo electrónico, el instante
función de mensajería de servicios y aplicaciones de redes sociales (por ejemplo, Facebook) o un mensaje de texto
mensaje (SMS) para adquirir información confidencial de una víctima o para instalar malware
(por ejemplo, ransomware) a través de archivos adjuntos de correo electrónico y enlaces maliciosos en su máquina.
Tales ataques pueden tener consecuencias devastadoras tanto personales como empresariales.
163
Page 179
seguridad. Por ejemplo, la información confidencial de un individuo puede adquirirse a través de

Hacerse pasar por una entidad de confianza (por ejemplo, un banco legítimo, una agencia gubernamental o una sociedad
servicio de red) para atraer a la víctima a revelar información confidencial (generalmente

haciendo clic en un enlace en el correo electrónico malicioso que lleva a la víctima a una página web falsa para
ingresar / actualizar datos personales). Una vez que se obtiene esta información, un atacante puede usar
chantajear a la víctima, realizar compras no autorizadas con credenciales robadas o
usar dicha información (p. ej., credenciales de inicio de sesión de los empleados) para lanzar un ataque avanzado
contra una empresa objetivo. Los atacantes también pueden usar los mismos correos electrónicos de phishing para instalar un
keylogger en las máquinas víctimas para robar información confidencial en silencio. En una empresa
contexto, las pérdidas pueden ser mayores. Por ejemplo, la amenaza persistente más avanzada (APT)
los ataques usan correos electrónicos de phishing como un punto de entrada para superar todos los perímetros de seguridad de la red
para infectar y propagar ransomware en un entorno cerrado o para obtener ganancias no autorizadas
acceso a áreas seguras dentro de la red empresarial objetivo.
Por lo tanto, la capacitación sobre conciencia del phishing es un componente esencial en cualquier seguridad
programa de formación de sensibilización. El phishing sigue siendo el vector de ataque número uno y es
consideró la principal preocupación para los profesionales de seguridad de TI cuando trabajan para implementar un
estrategia de defensa en profundidad (DiD). Para comprender cómo detectar correos electrónicos de phishing, necesita
para saber cómo se ven.
¡Nota! Según el informe "Tendencias de la actividad de phishing" publicado por APwg,

Más de 90,000 campañas de phishing únicas se lanzan cada mes.2
¿Qué aspecto tiene un mensaje de correo electrónico de phishing?

En esta sección, veremos un ejemplo de correo electrónico de phishing (ver Figura 6-1 ) para investigar su
diferentes componentes y vea cómo sus contenidos difieren de otros correos electrónicos legítimos.
2 APWG, "Informe de tendencias de actividad de phishing" 29 de mayo de 2019https://docs.apwg.org/reports/

apwg_trends_report_h1_2017.pdf
164
Page 180
Figura 6-1. Ejemplo de correo electrónico de phishing que muestra diferentes partes de cada correo electrónico
mensaje, descrito a continuación
1: línea de asunto del correo electrónico
• Verifique el asunto del correo electrónico. Los correos electrónicos de phishing suelen ser urgentes,
palabras amenazantes o aterradoras en la línea de asunto para convencer al destinatario
actuar con prontitud sin pensar. Por ejemplo, en la Figura 6- 2, tenemos
un correo electrónico de phishing con un tema amenazante. Segun Barracuda
Informe "Redes de suplantación de identidad: principales amenazas y tendencias" 3 de las redes , el más
Los temas de phishing de correo electrónico utilizados son los siguientes: solicitud, seguimiento,
Urgente / Importante, ¿Está disponible? / ¿Está en su escritorio ?, Pago
Estado, Hola, Compra, Factura vencida, Re :, Depósito directo, Gastos,
y nómina.
3 Barracuda, “Spear Phishing: principales amenazas y tendencias” 29 de mayo de 2019 https://www.barracuda.com/

informe de phishing
165
Página 181
Figura 6-2. Ejemplo de correo electrónico con el tema amenazante de cierre de cuenta
2: campo de correo electrónico "De"
• El asunto del correo electrónico pretende ser de Apple Corporation;

sin embargo, el correo electrónico del remitente no se origina en el dominio de Apple
nombre (apple.com). En cambio, es de applysecuritycode.inc.
Tenga en cuenta que el nombre de dominio en el campo "De"

no es necesario que sea auténtico, ya que los atacantes pueden burlar a otros legítimos
nombres de dominio para engañar a usuarios inconscientes.
• Ahora, debe hacerse las siguientes preguntas con respecto a

dirección de correo electrónico del remitente:
a. ¿Conoces al remitente? Si es así, ¿confías en él?
si. ¿La dirección de correo electrónico del remitente coincide con el remitente?
nombre (por ejemplo, nihad.hassan@darknessgate.com y un remitente
nombre de Nihad Hassan)?
C. ¿Tiene alguna relación comercial con el remitente o con

¿esta compañía?
re. Lea atentamente la dirección de correo electrónico del remitente y verifique cualquier
errores ortográficos en el nombre de dominio del remitente. Por ejemplo,
marketing@darknessgate.com puede estar mal escrito para convertirse
marketing@darknessgate.info (una extensión de dominio diferente)
o marketing@darknesssgate.com (una "s" adicional).
166
Page 182
mi. Investigue el nombre de dominio del remitente para ver si está en la lista
como malicioso Hay muchos servicios gratuitos para verificar si
un nombre de dominio particular es malicioso, como se cubre en
capítulo previo. Sin embargo, los siguientes son web adicionales
sitios para buscar sitios web potencialmente maliciosos y de phishing
sitios:
yo. Norton Safe Web ( https://safeweb.norton.com)
ii) IsItPhishing ( https://isitphishing.org)
iii) Phishtank (https://www.phishtank.com )
iv. Virus total (https://www.virustotal.com/#/home/url )
v. AbuseIPDB (https://www.abuseipdb.com)
vi. Kaspersky VirusDesk ( https://virusdesk.kaspersky.com)
F. ¿Iniciaste esta conversación? Por ejemplo, si alguien

le envía un correo electrónico solicitando su información personal
porque ganaste la lotería, pregúntate lo siguiente
pregunta: ¿Participó en esa lotería y solicitó recibir
tales correos electrónicos?
• Si tiene una relación comercial con el remitente, continúe

y lea el contenido del correo electrónico cuidadosamente. ¿Te pide que reveles tu
¿Credenciales de cuenta? O para descargar un archivo adjunto que parece
sospechoso (por ejemplo, un archivo comprimido o Microsoft Office o un archivo PDF)? De tal
un caso, intente comunicarse directamente con el remitente por teléfono o
indirectamente para eliminar cualquier duda.
3: El campo "Para"
• En la Figura 6-1 , puede observar que el correo electrónico se envía a noreply @

applyservices.inc. Esto significa que el correo electrónico se envió a muchos usuarios.
a la vez y no está dirigido únicamente al destinatario previsto. Tal
Los correos electrónicos pueden ser parte de una gran campaña de spam.
• Si el campo de correo electrónico "CC" está lleno de direcciones, márquelas una

por uno. ¿Conoces alguno de ellos? Es el nombre de dominio de cualquier correo electrónico.
en el campo "CC" está en la lista negra y marcado como malicioso?
167
Página 183
4: fecha / hora de correo electrónico enviado
• Verifique el tiempo de envío del correo electrónico. Si el correo electrónico pretende ser de su
empresa o banco, ¿lo enviaron durante el horario laboral oficial? Cheque
la fecha también, ¿lo enviaron durante las vacaciones? En figura 6-1) el
la hora de envío del correo electrónico era 3:16 am Obviamente, nadie enviaría correos electrónicos
¡En ese tiempo!
¡Nota! puede consultar la zona horaria de cualquier lugar de la tierra yendo a

https://www.timeanddate.com/time/map/ . también puedes consultar vacaciones
y observancias en todo el mundo a través del mismo sitio web yendo a
https://www.timeanddate.com/holidays/ .
5: Investigue el contenido del correo electrónico (cuerpo), las URL y cualquier archivo adjunto
• Pase el mouse sobre el hipervínculo en el cuerpo del correo electrónico para revelar el
dirección verdadera; para este ejemplo, apunta a otro dominio (https: //
tinyurl.com/yde7qbvd ) que no sea el que pretende ser
(Apple.com).
• Los spammers tienden a usar un servicio de acortamiento de URL como Bitly

(https://bitly.com ), TinyURL ( https://tinyurl.com) o Tinycc
(https://tiny.cc) para enmascarar sus hipervínculos maliciosos. Si tu
En tal situación, puede expandir cualquier URL acortada usando
un servicio de expansión de URL gratuito (ver Figura 6-3) como cheques cortos
(https://checkshorturl.com ), expandURL (https: // www.
expandurl.net ), urlxray (http://urlxray.com) o URLEX ( https: //
urlex.org ). En figura 6-1, el enlace "Iniciar proceso de verificación ahora"
va a la siguiente URL: https://tinyurl.com/yde7qbvd . A
revele la dirección verdadera, vaya a cualquiera de las URL mencionadas anteriormente
servicios de expansor para acortarlo (ver Figura 6-3)
168
Page 184
Figura 6-3. Usando https://urlex.org para encontrar la verdadera dirección enmascarada de un

URL acortada
• Si recibe un correo electrónico sin ningún contenido que contenga solo un

hipervínculo dentro de él, asegúrese de no hacer clic en este enlace e investigarlo
como se explica.
• Lea el cuerpo del correo electrónico cuidadosamente. ¿El remitente menciona tu nombre?
o simplemente use un saludo genérico como "Estimado miembro" o "Estimado miembro
Cliente valioso"? Usar un saludo genérico es común en el correo no deseado
campañas porque los mensajes se envían de forma masiva y no abordan
una persona específica
¡Advertencia! En spear phishing y caza de ballenas (que es un phishing personalizado

ataque de correo electrónico), un atacante recopila información personal diferente sobre el objetivo
utilizando técnicas de inteligencia de código abierto (OSInt) antes de atacarlos con un
correo electrónico de phishing. En este caso, el correo electrónico se elaborará bien utilizando el primer mensaje de la víctima.
y apellidos
169
Page 185
• Los correos electrónicos de phishing suelen contener errores gramaticales y son

mal escrito. Cuando ves un correo electrónico mal escrito que finge
ser de una agencia gubernamental o institución financiera como su
banco, entonces es probable que sea un correo electrónico de phishing.
• ¿El remitente le pide que proporcione su información personal? O para

verificar los detalles de su cuenta? O incluso para enviar su contraseña para evitar
¿cierre de cuenta? Las compañías legítimas no envían correos electrónicos preguntando
sobre su información personal o las credenciales de su cuenta porque
Ya tienen esta información.
• ¿El correo electrónico contiene archivos adjuntos extraños? Por ejemplo, si tu

recibir un correo electrónico con un archivo adjunto ejecutable, entonces esto debería
levantar una bandera roja porque las organizaciones legítimas no envían
ejecutables a través de mensajes de correo electrónico, incluso para sus empleados. En lugar,
suben dichos archivos a la nube y envían un enlace a la intención
usuario para descargarlo.
• ¿Es común que el remitente le envíe un correo electrónico con archivos adjuntos? O
enviar archivos a través de servicios de redes sociales como Facebook? Si no entonces
Es más seguro no abrir dichos archivos antes de verificarlos con el remitente.
Como ya viste, el ransomware puede disfrazarse en Microsoft
Macros de Office, PDF, archivos comprimidos como ZIP y 7z, y algunos
tipos de archivos de imagen. Tales tipos de archivos son comunes en el negocio
mundo, y debe ser cauteloso al recibir dichos tipos de archivos a través de
adjuntos de correo electrónico.
• Los correos electrónicos comerciales generalmente contienen direcciones comerciales completas, incluyendo
un número de teléfono, en la firma de correo electrónico del remitente. Si sospechas que
firma contiene información falsa, asegúrese de visitar la empresa
sitio web para verificar la información. También debes evitar hacer clic
enlaces de redes sociales incluidos en la firma de correo electrónico a menos que confíes
el remitente.
170
Page 186
Contramedidas contra los ataques de phishing

Los ataques de phishing por correo electrónico pueden mitigarse utilizando una combinación de herramientas de seguridad y
entrenamiento de usuario. Los siguientes son los temas clave a considerar:
• Eduque a sus empleados sobre los ataques de phishing para que todos los miembros del personal
puede reconocer correos electrónicos de phishing y comprender los riesgos de seguridad
asociado con tales correos electrónicos.
• No envíe información personal o confidencial del trabajo por correo electrónico.

sistemas. Aunque sepa que un remitente es legítimo, el remitente
puede no tener las herramientas de seguridad necesarias para proteger sus
finalizar (por ejemplo, abrir su correo electrónico a través de la conexión HTTP insegura),
lo que puede resultar en revelar contenido de correo electrónico a atacantes externos.
• Cuando tenga dudas, no haga clic en ningún enlace contenido en el

recibió un correo electrónico e investigó los enlaces como se mencionó. Si tu
recibir un correo electrónico de su banco con respecto a la actualización de su cuenta
información, asegúrese de acceder al portal de su cuenta bancaria escribiendo
la dirección directamente en la barra de direcciones del navegador y evite hacer clic en el
enlace proporcionado dentro del correo electrónico recibido.
• Asegúrese de que todo el tráfico con su correo web se realice a través de una red segura
conexión (certificado SSL).
• No acceda a su cuenta de correo electrónico utilizando puntos de acceso WiFi abiertos gratuitos
en lugares públicos. Si se encuentra en una situación en la que necesita usar
acceso gratuito a Internet, asegúrese de usar primero un servicio VPN confiable.
• No responda a correos electrónicos no deseados. Eliminarlos de forma permanente.
• Tenga mucho cuidado con los archivos adjuntos de correo electrónico y no abra
archivos adjuntos de remitentes desconocidos. Si necesita abrir un archivo o
ejecutar un programa enviado por correo electrónico, asegúrese de abrirlos / ejecutarlos
dentro de una máquina virtual como VirtualBox
(https://www.virtualbox.org/wiki/Downloads ).
• Use el teléfono para hablar con el remitente para confirmar cualquier correo electrónico sospechoso.
• Deshabilite HTML en su sistema de correo electrónico para evitar ejecutar cualquier código
en los correos electrónicos recibidos.
171
Page 187
• Considere encriptar sus correos electrónicos cuando intercambie información confidencial.

información.
• No ingrese ninguna información ni reaccione a las ventanas emergentes cuando

Navegando en línea. Los sitios web de buena reputación no utilizan dicho método para
interactuar con sus visitantes.
• No publique su correo electrónico principal en línea, como se menciona en el

capítulo previo. Si una empresa quiere publicar el trabajo de sus empleados
correo electrónico en su sitio web, entonces debe hacerlo de una manera que evite
los bots de correo electrónico los recopilan automáticamente.
• Se asegura de que el sistema operativo de su dispositivo endpoint esté actualizado junto con su
soluciones de seguridad instaladas como antivirus, antispam y
antimalware
• Utilice la autenticación de dos factores cuando sea posible para evitar atacantes
de obtener acceso no autorizado a aplicaciones comerciales críticas.
• Use una contraseña segura para proteger su cuenta de correo electrónico; considera mi
consejos para crear contraseñas seguras en el Capítulo 5 .
• No utilice un servicio de correo electrónico gratuito para tareas de misión crítica. Correo electrónico gratuito
los proveedores monitorean el correo electrónico de los usuarios para dirigirse a ellos con personalización
anuncios publicitarios.
• No revele información sobre la empresa para la que trabaja. Atacantes

puede usar dicha información para personalizar sus ataques de phishing (lanza
y phishing de ballenas).
Ataques telefónicos y en persona

El phishing por correo electrónico es el método preferido para adquirir información confidencial o para instalar
software malicioso en las computadoras de los usuarios que desconocen. Sin embargo, hay otras redes sociales.
Técnicas de ingeniería para explotar errores humanos como las siguientes:
• Navegación de hombro : esto significa adquirir contraseñas de usuario al observar

ellos los escriben en el teclado.
• Bucear en el contenedor : esto significa adquirir información confidencial

de materiales arrojados a la basura (por ejemplo, papeles, CD / DVD y datos
en discos duros defectuosos y otros dispositivos de medios portátiles desechados
insegura en la basura).
172
Page 188
• Juego de roles : en este tipo de ataque, un atacante suplantará

personal de soporte técnico en alguna empresa e intenta ser sensible
información de los usuarios para obtener acceso ilegal a sus cuentas.
• OSINT : la inteligencia de código abierto (OSINT) es donde los atacantes

investigar información publicada públicamente sobre una entidad específica
(empresa o individuo) para obtener inteligencia. Existen diferentes herramientas para
realizar estos ataques; Puede encontrar muchos de ellos en www.OSINT.link .
¡Nota! Para obtener más información sobre cómo explotar las fuentes de OSInt para recopilar información, consulte
a mi libro OSInt titulado Herramientas y métodos de inteligencia de código abierto (Apress, 2018).
Como se mencionó, hay diferentes tipos de ataques de ingeniería social, y todos intentan
para explotar el "factor de error humano", que sigue siendo el elemento más débil en la computadora
seguridad, para obtener acceso no autorizado o para instalar malware en las máquinas de destino.
La capacitación en concientización de ciberseguridad para el usuario final se considera la mejor contramedida
contra tales ataques.
Resumen
Los empleados siguen siendo los activos más importantes de su organización. No educar
ellos sobre cómo identificar y responder a las amenazas de seguridad pueden tener un impacto devastador
sobre el trabajo y la reputación de su organización. Por lo tanto, es esencial para cualquier organización.
utilizando la tecnología de TI para tener una capacitación de concientización de seguridad que incorpore el
Pautas esenciales para prevenir y contrarrestar los incidentes cibernéticos.
El desarrollo de un programa de capacitación de concientización sobre seguridad incurrirá en costos; sin embargo cuando
comparar este costo con las posibles pérdidas como resultado de una penetración exitosa en
el sistema de TI de su organización que puede provocar una violación de datos o una infección de ransomware,
entonces seguramente pagará el precio.
En seguridad informática, no existe una solución 100% infalible. Si sigues todos los
medidas preventivas en esta parte del libro y usted es víctima de un ataque de ransomware, luego
La siguiente parte de este libro le dirá cómo responder y recuperarse de tal incidente.
173
Page 189
PARTE III
Lidiando con el ransomware

Incidentes
Page 190
CAPÍTULO 7
Pagando el rescate
¿Deberías pagar?
Independientemente de todas las medidas de mitigación o estrategias de prevención ya descritas en

este libro, ninguna organización o individuo puede ser 100% inmune al ransomware
infección. Esto hace que tener un sólido plan de respaldo y recuperación sea importante para contrarrestar
ataques exitosos de ransomware.
Entonces, la pregunta más importante es, ¿qué debe hacer si no tiene el
copia de seguridad adecuada para restaurar las operaciones después de una infección de ransomware? Imaginemos
un escenario donde el ransomware infecta los datos de respaldo de la víctima también. Lo que puedes hacer en
¿tal situacion?
En una situación tan horrible, está limitado a una de estas opciones:
• Elimine la infección e intente descifrar los datos infectados.
• Hacer nada. Limpie el software de la máquina infectada e instale una limpia

SO y aplicaciones.
• Paga el rescate.
La primera opción, eliminar la infección del ransomware utilizando herramientas especiales de descifrado,
será el tema del próximo capítulo; sin embargo, esta opción depende de la existencia de
Una utilidad de descifrado para el ransomware específico. La segunda opción es no hacer nada; en
En este escenario, pierde todos sus datos infectados y comienza desde cero. La tercera opción, que
está pagando el rescate, es el tema de este capítulo.
En este capítulo, muestro cómo evaluar si pagar un rescate. Este es un duro
pregunta porque depende en gran medida de cada caso. Tambien hablo de lo anonimo
métodos de pago empleados por los propietarios de ransomware cuando reciben dinero de sus
víctimas Obviamente, tener un sistema de pago seguro y anónimo en su lugar que no puede ser
rastreado es un elemento clave en el modelo de ataque de ransomware.
177
Page 191
Capítulo 7 pagando el ranSom
Eligiendo pagar el rescate

¡Mi consejo para ti es que nunca pagues un rescate para desbloquear tus archivos bloqueados! Recuerda que eres
tratar con delincuentes, y esas personas carecen de la ética para respetar sus compromisos.
Además, pagar dinero a los cibercriminales los alentará a intensificar sus ataques.
e invertir parte del dinero del rescate en desarrollar un código más devastador para evadir
detección y apuntar a más personas en el futuro.
Por otro lado, el riesgo de pérdida de datos en la era de la información actual puede tener
consecuencias catastróficas en la empresa de una víctima. Un ataque de ransomware exitoso
incluso podría poner a la empresa objetivo fuera del negocio, con todo el daño a su reputación
y el resultado final; en algunos casos, incluso podría costar vidas si el ransomware afecta la atención médica
organizaciones y niega el acceso a registros críticos de pacientes.
¡Nota! Algunas empresas prefieren pagar el rescate para restaurar sus servicios como
lo más rápido posible para limitar el tiempo de inactividad, a pesar de tener las copias de seguridad necesarias para
restaurar sus operaciones normales.
Los creadores de ransomware generalmente solicitan rescates bajos de víctimas individuales, generalmente
entre $ 300 a $ 2,000 USD. Algunas variantes de ransomware solicitan más (alrededor de $ 286,000
como con el ransomware Ryuk y hasta $ 600,000 como con el caso de Riviera Beach City,
Florida 1), especialmente en ataques a medida contra objetivos de alto valor cuando cientos de
Las máquinas, el almacenamiento y los centros de datos están infectados.
Pagar un rescate puede considerarse una solución rentable al problema. por
ejemplo, los costos de recuperación del ransomware SamSam que golpeó la ciudad de Atlanta
en marzo de 2018 puede superar los $ 17 millones, según un informe obtenido por Atlanta
Journal-Constitution y Channel 2 Action News. 2 Este número es enorme en comparación con
el pago del rescate, que valía $ 50,000 Bitcoin en ese momento.
1 Asuntos de seguridad, “La Riviera Beach City paga $ 600,000 en rescate” 26 de junio de 2019
https://securityaffairs.co/wordpress/87381/breaking-news/riviera-beach-
city-ransomware.html
2 AJC, "INFORME CONFIDENCIAL: el ciberataque de Atlanta podría costar a los contribuyentes $ 17 millones"
15 de junio de 2019 https://www.ajc.com/news/confidential-report-atlanta-cyber-attack-
could-hit-million / GAljmndAF3EQdVWlMcXS0K /? icmp = np_inform_variation-control
178
192
Teniendo en cuenta todas estas cosas, una víctima puede sopesar las posibilidades y seleccionar el
La mejor opción que refleja las condiciones actuales. Pagar un rescate puede ser lo único posible
solución para restaurar datos bloqueados en muchos casos. En esta sección, discuto los diferentes
métodos de pago utilizados por los autores de ransomware para recibir rescates de sus víctimas.
Pagos anónimos
Los propietarios de ransomware utilizan diferentes métodos de pago anónimos para recibir sus fondos.
El método más popular y sin riesgos es la criptomoneda, que se cubre a continuación.
Criptomoneda
Este tipo de sistema de efectivo digital está diseñado para funcionar como medio de intercambio utilizando
protocolos criptográficos para asegurar la transacción y controlar la creación de
unidades adicionales de moneda. No hay una autoridad central, o servidor principal, que
rige el uso y la creación de criptomonedas. Las personas pueden usar criptomonedas para comprar
productos y servicios además de intercambiarlo de forma privada y anónima sin
revelando su verdadera identidad.
Bitcoin fue la primera criptomoneda descentralizada, que apareció en 2009, y sigue siendo
La moneda dominante en términos de uso y capitalización. También se considera el
método de pago preferido para que los delincuentes reciban sus fondos de rescate, por lo que será el
foco de esta sección.
Bitcoin
Bitcoin sigue siendo la criptomoneda más popular para pagos de ransomware. Conforme
a "Coveware,El 3 por ciento de los ataques de ransomware solicitan el pago a través de Bitcoin.
Bitcoin ( https://bitcoin.org ) es un innovador protocolo de Internet de código abierto que
utiliza un hash criptográfico SHA-256. Fue creado por un desarrollador de software japonés
llamado Satoshi Nakamoto. Bitcoin es una red descentralizada de pagos entre pares
(similar a las redes de intercambio de archivos como Torrent) que funciona con sus usuarios sin
autoridad central (p. ej., banco central del gobierno) o intermediario. Bitcoin es un efectivo digital
sistema; no se imprime como moneda corriente y es creado por personas y corporaciones
3 Coveware, "Las cantidades de rescate aumentan un 90% en el primer trimestre a medida que aumenta Ryuk", 13 de junio de 2019
https://www.coveware.com/blog/2019/4/15/ransom-amounts-rise-90-in-q1-as-ryuk-
ransomware-aumenta
179
Página 193
utilizando un mecanismo minero específico.4 Bitcoin se recibe, almacena y envía utilizando un

programa de software especializado llamado billetera Bitcoin (la billetera puede ser un servicio en línea,
llamado una billetera electrónica ). Bitcoin no cobra tarifas en las transacciones, y no es reembolsable.
(Una vez que envíe Bitcoins a un destinatario, desaparecerá para siempre en su cuenta, a menos que
el destinatario se los devuelve).
¡Propina! Hay cientos de tipos de criptomonedas que ya están en uso. CoinmarketCap

(https://coinmarketcap.com ) enumera la mayoría de ellos. Además de Bitcoin, Dash
y monero son utilizados por algunas cepas de ransomware para recibir fondos de rescate.
Para pagar a través de Bitcoin, debe tener una cuenta de Bitcoin llena con la moneda de Bitcoin,
cubierto a continuación.
Abrir una cuenta de Bitcoin
Al igual que con una cuenta bancaria tradicional, necesita un número de cuenta de Bitcoin para enviar o
recibir fondos hacia o desde él. En términos de Bitcoin, esto se llama una dirección . Una dirección de Bitcoin es un
Token de un solo uso que se ve así: 14r9k2Rq2PZhGRc7dsi2j1KQ7fJEZwbcVe.
No hay límite en la cantidad de direcciones de Bitcoin que puede tener cada usuario, y todas
Estas direcciones se almacenan en la billetera Bitcoin de un usuario.
Una billetera Bitcoin es un programa de software que se puede instalar en su computadora o
teléfono inteligente como una aplicación; la billetera se usa para crear una dirección de Bitcoin, enviar y recibir
Bitcoin, y realice un seguimiento de su historial de transacciones de Bitcoin. Puedes descargar el oficial
Programa de billetera Bitcoin de https://wallet.bitcoin.com .
Además, muchos servicios en línea ofrecen un servicio de billetera Bitcoin para invertir y
almacenar criptomonedas. En https://www.blockchain.com/wallet , puede registrarse para
una nueva billetera de Bitcoin ingresando un correo electrónico y una contraseña válidos (esta contraseña es para acceder
tu billetera Bitcoin). Para ver su dirección de Bitcoin, inicie sesión en su cuenta de billetera y haga clic en
el botón Solicitar (ver Figura 7-1 ).
4 Buybitcoinworldwide, “¿Qué es la minería de Bitcoin y cómo funciona?” 15 de junio de 2019

https://www.buybitcoinworldwide.com/mining/
180
Página 194
Figura 7-1. Ver la dirección de la cuenta de Bitcoin en www.blockchain.com
¡Advertencia! Si planea almacenar algo de dinero en su billetera Bitcoin,

entonces es aconsejable usar una billetera Bitcoin basada en software en lugar de la línea
servicios de billetera, que han sufrido muchas violaciones de seguridad en el pasado.
Para ver una lista de billeteras Bitcoin disponibles (computadora de escritorio, móvil, hardware), vaya a
https://bitcoin.org/en/choose-your-wallet .
181
Página 195
Comprar Bitcoin
Ahora que tiene una cuenta de Bitcoin, necesita alimentarla con efectivo para pagar los bienes y
servicios, ¡y posiblemente rescates! en Bitcoin. Tenga en cuenta que Bitcoin es una forma de moneda,
para usarlo, primero debe comprarlo con dinero tradicional (por ejemplo, dólares estadounidenses o euros). En esto
En la sección, enumero diferentes métodos para financiar su billetera Bitcoin recién creada con efectivo.
Si está siguiendo y ha creado su billetera en Blockchain.com, puede
obtenga la moneda de Bitcoin iniciando sesión en su billetera de Bitcoin y luego haciendo clic en Comprar y vender
opción en el lado izquierdo de la página (ver Figura 7-2 ). Actualmente, Blockchain.com trabaja con
intercambiar socios en todo el mundo; selecciona tu país del menú desplegable
y haga clic en el botón Siguiente para continuar (ver Figura 7-2 ).
Figura 7-2. Seleccionar el país donde reside para ver los socios disponibles para comprar
y vender Bitcoin
La siguiente ventana creará una cuenta para usted en el socio de intercambio de Bitcoin que
seleccionas en el primer paso; complete su dirección personal y de correo electrónico y luego haga clic en Continuar
para proceder. En la siguiente ventana, debe ingresar una identificación gubernamental válida para autenticar
sus datos con la empresa de intercambio de socios. Sigue los pasos para ser verificado.
Después de verificar su identidad, puede especificar la cantidad de Bitcoin que desea
compre desde el botón Comprar y Vender, pague usando una transferencia bancaria o un crédito / débito
tarjeta y guárdelos en su billetera Bitcoin.
182
Página 196
Métodos alternativos anónimos para comprar Bitcoin
Obviamente, cuando use el método anterior para comprar Bitcoin, revelará su verdadero
identidad mientras usa su cuenta bancaria o tarjeta de crédito / débito para comprar Bitcoin.
Sin embargo, si desea comprar Bitcoin de forma anónima, aquí hay algunas alternativas,
métodos anónimos:
• Efectivo : esta es la mejor opción anónima. Encuentra a alguien que te venda

su Bitcoin en persona. Puede encontrar vendedores potenciales yendo a
https://localbitcoins.com y organizar una reunión en persona para
compra o vende Bitcoins. Para usar este servicio, debe abrir una cuenta,
que requiere solo un correo electrónico y una contraseña. Para permanecer en el anonimato,
asegúrese de no usar su dirección de correo electrónico principal; en su lugar, use un
dirección de correo electrónico que no está vinculada a su identidad real.
• Cajeros automáticos : puede comprar Bitcoin de forma anónima con efectivo utilizando
Cajeros automáticos de Bitcoin; hay aproximadamente 1,400 cajeros automáticos
en todo el mundo, pero estas máquinas no están disponibles en todas partes. Bitcoin
Los cajeros automáticos le permiten generar una nueva dirección de Bitcoin si
no suministre uno, y esta nueva dirección se imprimirá en papel.
Luego puede tomar este documento e importar las claves privadas en
su servicio en línea de billetera electrónica o software de cliente de Bitcoin. Para encontrar cajero automático
máquinas que admiten Bitcoin, vaya a https://coinatmradar.com.
Desde aquí puede seleccionar su país / ciudad y ver una lista de cajeros automáticos
junto con sus ubicaciones físicas; puedes comprar el Bitcoin de
Estas máquinas utilizan efectivo.
• Tarjetas prepagas : este tipo de pago anónimo estará cubierto en

la siguiente sección; puede usar esas tarjetas (que generalmente se encuentran en las compras
centros) para comprar Bitcoin en línea sin proporcionar ningún dato personal.
Sin embargo, para permanecer en el anonimato, asegúrese de usar anonimizar su
conexión utilizando la red TOR y una dirección de correo electrónico secundaria
para realizar la transacción de compra. Los sitios https: //www.coinmama.
com y https://paxful.com aceptan tarjetas de regalo para comprar Bitcoin.
183
Page 197
¡Nota! no es aconsejable almacenar una gran suma de dinero en su billetera Bitcoin, incluso
aunque está utilizando la versión de billetera de software, ya que el precio de Bitcoin tiene un alto
tasa de fluctuación en comparación con las monedas tradicionales. siempre puedes comprar Bitcoin usando
cualquiera de los métodos ya descritos para financiar su billetera cuando necesite usarla.
Realizar pagos
Después de tener moneda en su dirección de Bitcoin, está listo para realizar compras en línea.
o enviar pagos a otras cuentas de Bitcoin. Para hacerlo, sigue estos pasos:
1. Encuentre la dirección de la cuenta de Bitcoin a la que desea enviar dinero.
2. Vaya al sitio web que utilizó para obtener su dirección (en mi caso
https://blockchain.com) Acceda al tablero de su billetera y
haga clic en el botón Enviar (ver Figura 7-3)
Figura 7-3. Enviar un pago de Bitcoin a otra dirección de Bitcoin

184
Página 198
3. Encuentre la ubicación donde ingresó la dirección de su destinatario, especifique

la cantidad de dinero que desea enviar y finalmente haga clic en Continuar
para proceder.
Así es como usa Bitcoin para realizar pagos en línea y enviar transacciones; como
notado, es sencillo.
¡Advertencia! cifre su conexión en línea (por ejemplo, utilizando un servicio Vpn) antes
haciendo un pago anónimo.
Cómo funciona una transacción típica de pago de ransomware

Los siguientes pasos demuestran cómo funciona una transacción de rescate (ver Figura 7-4):
1. Después de infectar la computadora de la víctima con ransomware, un rescate

aparece una nota en la pantalla con instrucciones detalladas sobre cómo
pagar el rescate (los atacantes suelen proporcionar instrucciones sobre cómo
abra una cuenta de Bitcoin y compre Bitcoin).
2. La víctima compra Bitcoin y los agrega a su billetera Bitcoin.
3. La víctima envía la cantidad de rescate requerida al atacante

Dirección de Bitcoin, que se puede encontrar en la nota de rescate.
4. El criminal confirma que recibió el rescate, y si todo sale bien

bueno, el criminal enviará la clave de descifrado por correo electrónico o
sitio web TOR del criminal para que la víctima pueda descifrar sus archivos.
5. Los delincuentes suelen lavar los Bitcoins recibidos utilizando un Bitcoin

servicio de mezclador (también conocido como caída de Bitcoin ). Este proceso ayuda
los delincuentes ocultan su identidad mediante el uso de un servicio de terceros que
codifica la conexión entre el remitente y el Bitcoin recibido
direcciones para evitar ser atrapado por la policía. Popular
Los servicios de caída de Bitcoin incluyen BitMix.Biz ( https: // bitmix.
biz / en), Bitcoin Blender ( https://bitblender.io ) y mixtum
(https://mixtum.io ).
185
Page 199
Figura 7-4. Transacción de rescate usando criptomoneda Bitcoin

Tarjetas de regalo prepagas

Otro método para pagar a los operadores de ransomware es a través de métodos de pago prepago. por
Por ejemplo, las viejas cepas de ransomware exigieron dinero a través de un mensaje SMS de tarifa premium
y los viejos vales Ukash desaparecidos (ahora llamados paysafecard ).
Es raro que las cepas modernas de ransomware soliciten pagos mediante tarjetas de regalo prepagas.
A pesar de esto, algunas variantes impopulares todavía están usando dicho método. Por ejemplo, el
Alpha ransomware exige sus pagos a través de una tarjeta de regalo de iTunes, mientras que TrueCrypter
ransomware solicita su pago en tarjetas de regalo de Amazon.
La mayoría de los proveedores de tarjetas de crédito ofrecen tarjetas prepagas para sus clientes. Este tipo de tarjeta puede
ser utilizado como uno ordinario, y no requiere que un cliente tenga una verificación de crédito o
cuenta bancaria. Además, la mayoría de las tarjetas prepagas no requieren un PIN para usar.
186
Página 200
Existen diferentes tipos de tarjetas de regalo prepagas. Lo que nos importa para esto
la discusión es del tipo anónimo, que es la tarjeta "no recargable". Tajetas prepagadas
(el tipo no recargable) están disponibles en casi todas partes, desde farmacias hasta
supermercados Puede comprarlos en efectivo (no rastreable) sin proporcionar ningún
información personal o información de contacto.
Como se mencionó, Bitcoin seguirá siendo el método de pago sin riesgo preferido para
delincuentes para recoger sus rescates en el futuro previsible.
¿Qué debo hacer si ya he pagado?

Lo primero que debe hacer es informar el incidente a las autoridades. Esto ayudará
Las empresas de seguridad y los investigadores de seguridad independientes crean un descifrador para el
informó ransomware. Además, ayudará a las autoridades a rastrear criminales y prevenir
ellos de continuar sus actividades maliciosas.
¡Advertencia! pagar rescates puede violar ciertas leyes en su país, como rescate
los pagos pueden ir a financiar otras actividades ilegales (por ejemplo, comprar drogas o armas)
de organizaciones criminales / terroristas.
En los países desarrollados, existe una autoridad especial para informar ransomware y otros
Ataques ciberneticos; sin embargo, si se encuentra en un país donde no sabe dónde
informar ataques de ransomware, luego simplemente vaya al departamento de policía más cercano para informar
incidente, y escalarán el incidente al departamento apropiado.
Las siguientes son las principales autoridades en países seleccionados para reportar ransomware
incidentes
• Estados Unidos : en guardia en línea (https://www.consumer.ftc.gov/

features / feature-0038-onguardonline), FBI ( https: //www.fbi.
gov / contact-us / field-office ), o Internet Crime Complaint
Centro (https://www.ic3.gov/default.aspx )
• Reino Unido : Fraude de acción (https://www.actionfraud.police.uk )
• Australia : Scam Watch (https://www.scamwatch.gov.au )
• Canadá : Centro contra el fraude ( http: //www.antifraudcentre-

centreantifraude.ca/index-eng.htm )
187
201
• Nueva Zelanda : Protección del consumidor (https: // www.

consumerprotection.govt.nz/general-help/scamwatch )
• Alemania : BSI (https://www.bsi.bund.de/DE/Home/home_node.html )
• Bélgica : policía (https://www.police.be/en )
• Finlandia : Policía de Finlandia ( https://www.poliisi.fi/crimes/

reporting_an_offence_online)
• Francia : señalización de Internet (https: //www.internet- signalement.

gouv.fr/PortailWeb/planets/Accueil!input.action )
Para informar el cibercrimen en línea para otros países de la UE, consulte el sitio web de Europol
( https://www.europol.europa.eu/report-a-crime/report-cybercrime-online ).
Eligiendo no pagar el rescate

Como se mencionó, la elección de pagar o no el rescate dependerá de cada caso. Muchos
las empresas elegirán pagar el rescate para evitar cesar su trabajo y, en consecuencia,
Dañando el negocio. Sin embargo, cuando paga dinero a los autores de ransomware,
recuerda que estás tratando con los malos. No puedes confiar en su palabra, y allí
no es garantía de que pueda restaurar sus archivos.
Los autores de ransomware intentan convencer a sus víctimas mediante notas de rescate de que su
los archivos de rehenes son irrecuperables si se niegan a pagar el rescate. Este hecho no siempre es cierto
a medida que las empresas de seguridad y otros organismos no gubernamentales se desarrollan continuamente
herramientas de descifrado para cada cepa de ransomware descubierta. Si sus datos no son críticos y
puede recuperar parte de él desde la copia de seguridad, entonces una solución inteligente es esperar hasta que haya un
descifrador de sus datos infectados.
Muchos operadores de ransomware vuelven a alcanzar el mismo objetivo después de recibir el rescate.
Además, algunos delincuentes solicitan más dinero después de recibir el pago original.
cantidad para liberar la clave de descifrado. Por otro lado, algunas variantes de ransomware
como NotPetya no recuperará sus archivos cifrados incluso después de que pague el rescate.
Finalmente, pagar un rescate financiará a los perpetradores detrás de él y los resultará en
creando código más sofisticado para apuntar a más personas con ransomware. Y
recuerde que los actores de la amenaza detrás del ransomware pueden pertenecer a grupos terroristas o
regímenes opresivos que pueden usar pagos de rescate para financiar ataques terroristas y otros
actividades maliciosas
188
Página 202
Por supuesto, cuando los datos de su empresa están encriptados y no tiene los datos necesarios
copia de seguridad para restaurar las operaciones, pagar el rescate será la opción más fácil de deshacerse de
el problema, por lo que es posible que no le importen todas estas otras consideraciones. Sin embargo, manténgase en
Tenga en cuenta que siempre hay una solución alternativa, y no debe pagar el rescate
antes de evaluar todas sus opciones disponibles.
Resumen
Cada incidente de ransomware es único, por lo que no puedo dar consejos específicos para manejar todos
ataques de ransomware. En este capítulo, evaluó si pagar un rescate, teniendo en cuenta
cuenta todas las opciones posibles. Si recibe un ataque de ransomware, no se asuste. Buscar
ayuda de firmas especializadas o de sus colegas experimentados e informe el incidente
a las autoridades. Asegúrese de realizar una búsqueda en línea para obtener más información sobre
la tensión del ransomware y ver cómo otras personas han manejado un ataque similar.
Siempre es aconsejable no pagar el rescate, aunque esto pueda resultar en problemas
tu negocio; recuerde, no hay garantía de que los operadores de ransomware respeten
Su promesa y entregar la clave de descifrado después del pago. Pero si decides pagar el
rescate, ahora sabes cómo usar Bitcoin y otros métodos de pago anónimos
para hacer el pago Después de pagar el rescate, debe limpiar su sistema operativo y
aplicaciones después de recuperar sus datos importantes, ya que los operadores de ransomware podrían plantar
otro ransomware en su sistema y red para lanzar futuros ataques.
En el próximo capítulo, verá cómo puede recuperarse de los incidentes de ransomware sin
pagar un rescate mediante el uso de herramientas de descifrado disponibles y algunas técnicas alternativas.
189
203 de 1189.
CAPÍTULO 8
Secuestro de datos
Herramientas de descifrado
Eliminar la infección del ransomware sin pagar el rescate
Como se mencionó en el capítulo anterior, si no tiene una copia de seguridad, si su computadora obtiene
infectado con ransomware, tiene tres opciones para seleccionar.
• Elimine la infección con un descifrador e intente descifrar el

datos infectados
• Hacer nada. Limpie el software de la máquina infectada e instale una limpia

SO y aplicaciones.
• Paga el rescate.
Pagar un rescate no es una opción recomendada y no se garantiza que restablezca su

datos (según Bleepingcomputer.com, la mitad de las víctimas de ransomware no se recuperan
sus datos infectados después de pagar la demanda de rescate1 ) Sin embargo, una víctima puede no tener
la copia de seguridad necesaria para restaurar los archivos infectados. Esto deja una opción posible para
restaurar datos infectados, que es utilizar un descifrador de terceros.
Ya sea que tenga una copia de seguridad de los datos infectados o no, debe realizar un en línea
busque para ver si el ransomware que golpeó su sistema ya tiene un descifrador.
A veces, restaurar los datos de la copia de seguridad puede perturbar su trabajo, ya que necesita algo de tiempo para
completar. Usar un descifrador confiable puede ser una solución más eficiente.
1 Bleepingcomputer, “Solo la mitad de los que pagaron un ransomware pudieron recuperarse

Sus datos ”28 de junio de 2019 https://www.bleepingcomputer.com/news/security/
solo la mitad de los que pagaron un ransomware fueron capaces de recuperar sus datos
191
204 de 1189.
CAPÍTULO 8 HERRAMIENTAS DE DESCRIPCIÓN DE RANSOMWARE
Con la creciente amenaza de ataques de ransomware, los proveedores de seguridad son

invirtiendo en la creación de descifradores para varias familias de ransomware. Muchas empresas de seguridad y
investigadores de seguridad independientes lanzarán un descifrador poco después de una cepa de ransomware
aparece. Aunque no se garantiza que un descifrador de terceros trabaje el 100 por ciento del
tiempo, probar estas herramientas no le costará nada y puede recuperar sus datos sin pagar
rescate. Tenga en cuenta que el uso de herramientas de descifrado requiere cierto nivel de experiencia técnica.
Además, cada herramienta solo puede recuperar datos infectados por una cepa específica de ransomware;
en otras palabras, no hay un descifrador general para todos los tipos de ransomware.
En este capítulo, presento algunos descifradores de ransomware y también explico un manual
Método para recuperarse del bloqueo del ransomware. Sin embargo, antes de comenzar su búsqueda
para un descifrador de ransomware adecuado para su problema, debe identificar el tipo de
ransomware con el que te has infectado.
Identifique el ransomware con el que ha sido infectado

Para identificar el tipo de ransomware que ha afectado a su sistema, utilice cualquiera de los
siguientes servicios:
• ID Ransomware ( https://id-ransomware.malwarehunterteam.com ):
Este es un servicio gratuito que identifica el tipo de ransomware que infecta
tu computadora. Detecta más de 726 tipos de ransomware y
informa al usuario si hay un descifrador o un método para descifrar el
datos infectados Para usar este servicio, simplemente suba la nota de rescate o
cargar un archivo cifrado de muestra al servicio, y determinará
El tipo de ransomware para ti.
• No más rescate (https://www.nomoreransom.org/crypto-

sheriff.php): Este servicio le permite determinar el ransomware
tipo que afecta a su dispositivo. Para usar este servicio, puede cargar un
muestra de archivo infectado (limitado a 1 MB); cargar la nota de rescate; o
ingrese el correo electrónico, la URL, la cebolla o la dirección de Bitcoin que se muestra en
demanda aleatoria para determinar el tipo de ransomware.
• VirusTotal ( https://www.virustotal.com/gui/home/upload ): este

es un servicio popular para analizar archivos sospechosos de malware. Tú
puede usar este servicio para cargar un archivo (con un tamaño máximo de
550 MB) para examinarlo o escribir una URL para escanearlo en busca de malware. VirusTotal
también admite búsquedas por dirección IP, dominio y hash de archivo.
192
205 de 1189.
Herramientas populares de eliminación de ransomware

Ahora que conoce el tipo de ransomware que infecta su sistema, continuemos con
siguiente paso para ver si hay un descifrador / desbloqueador para este tipo de ransomware.
Como ya sabe, hay dos tipos de ransomware; uno bloquea la víctima
pantalla de la computadora, y el otro tipo encripta los datos de la víctima. Comencemos con la pantalla
casillero tipo ransomware.
Herramientas para ransomware de bloqueo de pantalla

El ransomware de bloqueo de pantalla se puede eliminar mediante el uso de una herramienta o de forma manual. los
Las siguientes secciones cubren ambos métodos.
Herramienta de desbloqueo de pantalla de Trend Micro Ransomware

Para deshacerse del ransomware con bloqueo de pantalla, puede usar el randomware Trend Micro
Herramienta de desbloqueo de pantalla. Tenga en cuenta que para usar esta herramienta, debe instalarla en Windows
mientras se ejecuta en modo seguro con funciones de red. Si no sabe cómo iniciar Windows
en Modo seguro, consulte la siguiente guía de NeoSmart: "Cómo iniciar en Modo seguro en
Windows 10, 8, 7, Vista y XP "( https://neosmart.net/wiki/safe- mode ).
Si el ransomware de bloqueo de pantalla está bloqueando el Modo seguro con funciones de red, entonces usted
todavía puede usar esta herramienta, pero debe usar otra versión que se ejecute desde un dispositivo USB para
Desbloquee la máquina infectada. Ambas versiones y guías de uso se pueden encontrar en
https://esupport.trendmicro.com/en-us/home/pages/technical-support/1105975.aspx.
Remoción manual
Puede intentar eliminar manualmente el ransomware de bloqueo de pantalla reiniciando su
PC con Windows en modo seguro. Este modo solo permite aplicaciones y servicios confiables para
comienzo. Ahora instale un producto antimalware o actualice el instalado, y realice un
escaneo completo para deshacerse del ransomware.
También puede intentar restaurar su sistema operativo a un estado anterior utilizando el sistema de Windows
Función de restauración. Si no sabe cómo restaurar su computadora con Windows, How-To
Geek tiene una guía para esto en https://www.howtogeek.com/howto/windows-vista/using-
windows-vista-system-restore .
193
206 de 1189.
Encriptadores descifradores de ransomware

Esta sección proporciona información sobre la descarga y el uso de varios descifradores de archivos
herramientas para diferentes familias de ransomware.
• No más rescate (https://www.nomoreransom.org/en/

decryption-tools.html ): esta herramienta tiene herramientas de descifrado para
siguientes tipos de ransomware: 777, AES_NI, Agent.iih, Alcatraz, Alpha,
Amnesia, Amnesia2, Annabelle, Aura, Aurora, AutoIt, AutoLocky,
BTCWare, BadBlock, BarRax, Bart, BigBobRoss, Bitcryptor, CERBER
V1, Quimera, Coinvault, Cry128, Cry9, CrySIS, Cryakl, Crybola,
Crypt888, CryptON, CryptXXX V1, CryptXXX V2, CryptXXX V3,
CryptXXX V4, CryptXXX V5, CryptoMix, Cryptokluchen, DXXD,
Daño, Democry, Derialock, Dharma, EncrypTile, Everbe,
FenixLocker, FilesLocker versiones 1 y v2, Fury, GandCrab (V1,
V4, V5, V5.1 y V5.2), GetCrypt, Globe, Globe / Purge,
Globe2, Globe3, GlobeImposter, Gomasom, HKCrypt, HiddenTear,
InsaneCrypt, JSWorm 2.0, Jaff, Jigsaw, LECHIFFRE, LambdaLocker,
Lamer, Linux.Encoder.1, Linux.Encoder.3, Lortok, MacRansom,
Marlboro, Marsjoke, alias Polyglot, MegaLocker, Merry X-Mas,
MirCop, Mole, Nemucod, NemucodAES, Nmoreira, Noobcrypt,
Ozozalocker, ransomware PHP, Pewcrypt, Filadelfia, Planetario,
Pletor, palomitas de maíz, Pylocky, Rakhni, Rannoh, Rotor, SNSLocker, Shade,
Simplocker, Stampado, Teamxrat / Xpan, TeslaCrypt V1, TeslaCrypt
V2, TeslaCrypt V3, TeslaCrypt V4 Thanatos, Trustezeb, Wildfire,
XData, XORBAT, XORIST y ZQ. Este sitio web ofrece una guía práctica
para cada descifrador de ransomware enumerado para informar al usuario cómo
eliminar de forma segura la infección de su máquina. No más rescate es
un sitio importante (es una iniciativa del National High-Tech Crime
Unidad de la policía de los Países Bajos, el cibercrimen europeo de Europol
Center y McAfee) que pueden identificar el tipo de ransomware en
Además de ofrecer un descifrador si hay uno disponible. Siempre comienza
su búsqueda de un descifrador de ransomware en el sitio No More Ransom.
• Herramienta de descifrado de ransomware gratuito Quickheal ( https: // www.

quickheal.com/free-ransomware-decryption-tool): Esta herramienta
descifra 19 tipos de cifrado ransomware.
194
207 de 1189.
• Sin rescate de Kaspersky ( https://noransom.kaspersky.com):

Este sitio tiene descifradores para los siguientes tipos de ransomware: Rakhni,
Agent.iih, Aura, Autoit, Pletor, Rotor, Lamer, Cryptokluchen, Lortok,
Democry, Bitman (TeslaCrypt) versiones 3 y 4, Chimera, Crysis
(versiones 2 y 3), Jaff, Dharma y nuevas versiones de Cryakl
ransomware, Rannoh, AutoIt, Fury, Cryakl, Crybola, CryptXXX
(versiones 1, 2 y 3), Polyglot, también conocido como Marsjoke, Shade, versiones 1 y 2,
CoinVault y Bitcryptor, Wildfire, Xorist y Vandev.
• Avast ( https://www.avast.com/ransomware-decryption-tools ):
Este sitio tiene herramientas de descifrado de ransomware gratuitas para lo siguiente
tipos de ransomware: AES_NI, Alcatraz Locker, Apocalypse, BadBlock,
Bart, BigBobRoss, BTCWare, Crypt888, CryptoMix (sin conexión),
CrySiS, EncrypTile, FindZip, GandCrab, Globe, HiddenTear,
Jigsaw, LambdaLocker, Legion, NoobCrypt, Stampado, SZFLocker,
TeslaCrypt y XData.
• Emsisoft (https://www.emsisoft.com/decrypter): Este sitio tiene

herramientas de descifrador gratuitas para los siguientes tipos de ransomware: GetCrypt,
JSWorm 2.0, MegaLocker, ZQ Ransomware, CryptoPokemon,
Planetary, Aurora, HKCrypt (también conocido como Hacked Ransomware),
PewCrypt, BigBobRoss, NemucodAES, Amnesia2, Amnesia,
Cry128, Cry9, Daño, CryptON aka Nemesis aka X3M, MRCR o
Merry X-Mas, Marlboro, Globe3, Globe2, Globe, OpenToDecrypt,
GlobeImposter, NMoreira, OzozaLocker, Al-Namrood, FenixLocker,
Fabiansomware, Filadelfia, Stampado, ApocalypseVM,
Apocalypse, BadBlock, Xorist, 777, AutoLocky, Nemucod,
DMALocker2, HydraCrypt, DMALocker, CrypBoss, Gomasom,
LeChiffre, KeyBTC, Radamant, CryptInfinite, PClock, CryptoDefense,
y Harasom
• McAfee Ransomware Recover (https://www.mcafee.com/

Enterprise / es-es / descargas / herramientas gratuitas / ransomware-
decryption.html): También llamado Mr2, este es un descifrador empaquetado para
diferentes tipos de ransomware
195
Page 208
Capítulo 8 herramientas de descifrado de ransomware
• Trend Micro Ransomware File Decryptor (https: // esupport.

trendmicro.com/en-us/home/pages/technical-support/1114221.
aspx ): este sitio descifra archivos de las siguientes familias de ransomware:
(CryptXXX V1, V2, V3), (CryptXXX V4, V5), TeslaCrypt V1, TeslaCrypt
V2, TeslaCrypt V3, TeslaCrypt V4, SNSLocker, AutoLocky, BadBlock,
777, XORIST, XORBAT, CERBER V1, Stampado, Nemucod, Chimera,
LECHIFFRE, MirCop, Jigsaw, Globe / Purge, DXXD, Teamxrat / Xpan,
Crysis, TeleCrypt, DemoTool y WannaCry (WCry).
• KnowBe4 (https://blog.knowbe4.com/are-there-free-
descifradores de ransomware ): enumera más de 100 ransomware gratis
herramientas de descifrado
• Promedio ( https://www.avg.com/en-ww/ransomware-decryption- tools ):

Este sitio tiene herramientas de descifrado de ransomware para lo siguiente
formas de ransomware: Apocalypse, BadBlock, Bart, Crypt888, Legion,
SZFLocker y TeslaCrypt.
¡Advertencia! después de infectarse con ransomware, los usuarios sin experiencia pueden
iniciar su computadora en modo seguro y realizar un análisis antivirus completo para eliminar el
Secuestro de datos. Al hacer esto, eliminarán el ransomware de su máquina,
pero los archivos infectados seguirán encriptados. El problema aquí es que perderán el
capacidad de pagar el rescate. Haga esto solo si está decidido a no pagar el rescate.
¡Nota! si no puede encontrar un descifrador para el ransomware que infecta su computadora,
luego intente buscar en internet usando Google. Por ejemplo, si la extensión de su
los archivos se cambiaron después de la infección a una extensión .Codnat, luego busque eliminar
codnat ransomware .
Puede buscar los últimos descifradores de ransomware en Twitter escribiendo el
siguiente en el cuadro de búsqueda: descifrador #ransomware desde: 14/06/2019.
(la sección de fecha en el ejemplo es la fecha de inicio y se puede cambiar para obtener el
últimos tweets sobre descifradores de ransomware).
196
Página 209
Recuperar archivos borrados

La mayoría de las familias de encriptadores ransomware trabajan encriptando una copia del
los archivos de la víctima primero y luego eliminar la versión original. Hay muchas herramientas para el archivo
recuperación, y muchos de ellos ofrecen una versión gratuita con funciones limitadas. Si tus archivos son
importante y el ransomware realiza una especie de eliminación segura de archivos originales, hacer
No desespero. Busque la ayuda de un examinador forense digital profesional. La investigación
Las técnicas empleadas por los examinadores forenses digitales pueden recuperar archivos borrados incluso
aunque han sido eliminados de forma segura (sobrescritos) por el ransomware atacante.
Aquí hay una lista de algunos programas populares de recuperación de datos. Si quieres comprar un
solución comercial, asegúrese de comprar la que admita diferentes dispositivos de almacenamiento
como discos duros externos, unidades USB, tarjetas SD y discos duros fijos.
• TestDisk y PhotoRec (https://www.cgsecurity.org/wiki/

TestDisk_Download ): este es un software de código abierto que funciona en
Windows, Linux y macOS.
• Undelete 360 ( http://www.undelete360.com ): se trata de software gratuito con

sin limitación para el tamaño de la recuperación de datos.
• EaseUS Data Recovery Wizard gratis (https://www.easeus.com/

datarecoverywizard / free-data-recovery-software.htm): Esto puede
recuperar hasta 2 GB de forma gratuita.
• MiniTool Power Data Recovery Free (https: //www.minitool.

com / data-recovery-software / free-for-windows.html ): el programa gratuito
La versión se limita a recuperar 1 GB de datos.
• Taladro de disco (https://www.cleverfiles.com/disk-drill-windows.

html ): la versión gratuita se limita a recuperar 500 MB de datos.
• Recuva (http://www.ccleaner.com/recuva): Esto es freeware

para ventanas.
• Recuperación de archivos SoftPerfect (https://www.softperfect.com/

productos / recuperación de archivos ): esta es una herramienta gratuita.
¡Advertencia! al recuperar archivos borrados, asegúrese de recuperarlos en un

disco duro portátil. No los restaure en el mismo disco que está recuperando
datos de, ya que podría sobrescribir estos archivos y perderlos para siempre.
197
Página 210
Si usa alguna de las herramientas anteriores y aún no puede recuperar algunas, o incluso
todos — de sus datos, entonces no se asuste. Busque ayuda de profesionales forenses digitales
examinador para investigar la unidad infectada y verificar la posibilidad de recuperación de datos.
¡Nota! El tema del análisis forense digital se ha integrado en todas las computadoras
dominios de seguridad si es un recién llegado a este campo y quiere entender cómo
Las técnicas forenses digitales se pueden utilizar para investigar ataques de ransomware y
recuperar archivos borrados, luego te aconsejo que tomes mi libro Conceptos básicos de análisis forense digital
(apress, 2019).
Recursos para rastrear ransomware

Ya he enumerado diferentes técnicas de combate para prevenir la infección por ransomware;
sin embargo, diariamente se desarrollan nuevos métodos de ataque, por lo que nadie puede conocer todos los
vectores de ataque que vendrán en el futuro. Es por eso que las organizaciones deben tener alguna idea
en lo que está sucediendo en general en el ámbito del ransomware. Esta inteligencia de amenaza cibernética
proporciona información procesable sobre actores de amenazas y señales de alerta temprana de
ataques de ransomware, lo que permite a las organizaciones fortalecer sus ciberdefensas contra todos
vectores de ataque crítico
Tener una fuente confiable y actual de información sobre amenazas cibernéticas ayudará a los equipos de seguridad
para responder de manera más eficiente a un ataque de ransomware y para encontrar la información requerida
mas rapido. Algunas organizaciones incluso están incorporando feeds de inteligencia sobre amenazas cibernéticas
en su red directamente para que puedan reaccionar de inmediato a las amenazas emergentes.
Varias organizaciones ofrecen información de inteligencia sobre amenazas cibernéticas. Los siguientes son los
los más populares:
• Análisis de tráfico de malware ( http: // malware-traffic-analysis.

net / 2019 / index.html): Esto ha estado monitoreando una red maliciosa
tráfico desde 2013.
• Grupos y operaciones APT ( https: // docs.

google.com/spreadsheets/u/1/d/1H9_xaxQHpWaa4O_
Son4Gx0YOIzlcBWMsdvePFX68EKU / pubhtml ): esto cubre las opciones avanzadas
actividad de amenaza persistente (APT).
198
Página 211
• Intercambio automatizado de indicadores (AIS) ( https://www.dhs.gov/

cisa / automatic-indicator-sharing-ais ): Esto es administrado por
Departamento de Seguridad Nacional (DHS); facilita el intercambio
de indicadores de amenaza cibernética entre el gobierno federal y el
sector privado.
• FireHOL (https://iplists.firehol.org): Esto analiza varios

feeds de seguridad relacionados con ataques en línea, como direcciones IP maliciosas,
malware, botnets, servidores de comando y control, y más.
• IBM X-Force Exchange (https://exchange.xforce.ibmcloud.com ):

Esto enumera los últimos riesgos de seguridad global.
• MalwareINT ( https://intel.malwaretech.com ): muestra un

mapa mundial que muestra la distribución geográfica del malware
infección y nuevas botnets.
• Centro de tormentas por Internet del Instituto SANS ( https://isc.sans.edu):

Esto proporciona datos sobre varias amenazas cibernéticas emergentes.
• Botvrij ( http://www.botvrij.eu ): este servicio gratuito ofrece diferentes

conjuntos de datos de indicadores de compromiso de código abierto que
puede usar en sus dispositivos de seguridad para alertar sobre la posible
actividad maliciosa
• Rastreador C&C (http://osint.bambenekconsulting.com/feeds/c2-

ipmasterlist.txt ): proporciona una lista actualizada de comandos y
controlar las direcciones IP
• Fuentes de inteligencia gratuitas de Cyber Cure (https://www.cybercure.ai ):

Esto proporciona feeds de inteligencia cibernética de uso gratuito mediante la recopilación
diferentes indicadores de seguridad de proveedores comerciales que se ejecutan
honeypots y honeynets.
• Threatfeeds ( https://threatfeeds.io ): este servicio ofrece servicios gratuitos

y fuentes de inteligencia de amenazas de código abierto.
199
Página 212
¡Nota! Las organizaciones empresariales también pueden usar la información recopilada a través de
intercambio de información y centros de análisis (isaCs). estas son organizaciones sin fines de lucro
especializado en recopilar información sobre diferentes amenazas cibernéticas y sugerir
prevención y mejores prácticas para contrarrestar tales amenazas. los isaC también fomentan el intercambio
de información recopilada entre los sectores público y privado.
la agencia de la Unión Europea para la Ciberseguridad (enisa) ha publicado un estudio sobre
isaCs en europa. puedes descargarlo desde https://www.enisa.europa.eu/
publicaciones / intercambio de información y análisis-center-isacs-
modelos cooperativos . para encontrar una lista de isaCs agrupados por industria en las unidades
estados, ve a https://www.nationalisacs.org .
Aquí hay otros sitios web útiles para obtener información sobre ransomware
vectores de ataque y estrategias de mitigación:
• US-CERT (https://www.us-cert.gov/ncas/tips/ST19-001): Esto es

un consejo de seguridad (ST19-001) llamado "Protección contra ransomware".
• FireEye (https://www.fireeye.com/blog/threat-research.
html / category / etc / tags / fireeye-blog-tags / ransomware): Esta
contiene investigación de amenazas sobre ransomware.
• Emsisoft (https://blog.emsisoft.com/en/category/protection-
guías / spotlight-ransomware): Esta es una serie de varias partes que cubre
todos los aspectos del ransomware, desde vectores de infección, cifrado y
pago a la mejor manera de eliminar el ransomware una vez en el sistema.
• knowbe4 ( https://info.knowbe4.com/ransomware-hostage-
rescate-manual-0): Este es el Manual de rescate de rehenes de Ransomware.
200
Page 213
Resumen
Las herramientas de descifrado de ransomware le permiten recuperar archivos cifrados con ransomware
sin pagar el rescate. No existe un descifrador general para todas las infecciones de ransomware,
ya que cada variante de ransomware requiere su propio descifrador. Los descifradores de ransomware son fáciles
para usar por usuarios ocasionales, y la mayoría de ellos son gratuitos. Sin embargo, algunos tipos requieren el
usuario para tener algunas habilidades técnicas para descifrar archivos infectados.
A medida que los ataques de ransomware se vuelven más frecuentes y tienen importantes consecuencias legales y
riesgos financieros para individuos y organizaciones, la necesidad de una respuesta de ransomware
El plan es crucial para cualquier organización que quiera saber qué hacer en caso de una
ataque exitoso de ransomware; Este es el tema del próximo y último capítulo de este libro.
201
Página 214
CAPÍTULO 9
Respondiendo
a los ataques de ransomware
Crear un plan de respuesta a incidentes de ransomware
Impulsado por un acceso más fácil y una mayor rentabilidad financiera, la cantidad de ransomware
Se espera que los ataques se intensifiquen en el futuro. Los delincuentes ahora están centrando sus esfuerzos en
dirigidos a organizaciones de alto perfil, entidades gubernamentales, instituciones educativas y
organizaciones de atención médica, y continuarán estos ataques debido a la capacidad de ser
totalmente anónimo al recibir rescates y debido a la alta tasa de éxito lograda por
dirigido a grandes organizaciones para un pago mayor.
Un plan de respuesta a incidentes es un conjunto de instrucciones utilizadas por el personal de TI en las organizaciones.
para mitigar, detectar, responder y recuperarse de incidentes de ciberseguridad. El último
El propósito de un plan de respuesta a incidentes es evitar cualquier daño a los sistemas de TI que pueda
conducir a una violación de datos o interrupción del servicio.
El equipo responsable de implementar un plan de respuesta a incidentes se llama
equipo de respuesta a incidentes de seguridad informática (CSIRT). El CSIRT está compuesto por TI
profesionales con capacitación formal en seguridad de TI que son responsables de coordinar
Todos los esfuerzos de manejo de incidentes de ciberseguridad, comenzando desde la comunicación con
diferentes partes dentro de una organización y que contienen el daño, a través de la recuperación
desde incidentes de seguridad hasta la comunicación con partes externas como la prensa, la ley
cumplimiento y otras partes afectadas, como partes interesadas y clientes.
En este capítulo, analizo los elementos principales de un plan de respuesta a incidentes de ransomware
y vea cómo la existencia de dicho plan puede ser de gran ayuda para minimizar el ransomware
dañar y recuperar operaciones normales rápidamente.
203
Page 215
CAPÍTULO 9 RESPONDIENDO A LOS ATAQUES DE RANSOMWARE
Ciclo de vida de incidentes de ransomware

Si bien puede tener un plan general de respuesta a incidentes de ransomware que se ajuste a la mayoría
situaciones, los detalles específicos variarán según el tipo de sistema involucrado en el
incidente. En esta sección, hablo sobre cómo responder a incidentes de ransomware usando
recomendaciones basadas en el ciclo de vida de respuesta a incidentes (ver Figura 9-1 ), como se describe
en el Instituto Nacional de Estándares y Tecnología (NIST) Seguridad Informática
Guía de manejo de incidentes. 1
Figura 9-1. Ciclo de vida de respuesta a incidentes, adoptado de la seguridad informática de NIST
Guía de manejo de incidentes
Preparación
Los elementos de la fase de preparación fueron cubiertos en detalle en la Parte II de este libro. En
preparación, una organización describe los pasos y contramedidas que deben ser
implementado para asegurar su entorno de trabajo (red, aplicaciones, sistemas de TI,
y aspecto humano) de los ataques de ransomware. Esta fase es considerada la más
importante ya que describe principalmente los pasos de mitigación que deben implementarse para
1 El Instituto Nacional de Estándares y Tecnología, "Manejo de incidentes de seguridad informática

Guía ”2 de julio de 2019 https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.
SP.800-61r2.pdf
204 204
Page 216
CAPÍTULO 9 RESPONDIENDO A LOS ATAQUES DE RANSOMWARE
evitar un ataque de ransomware o malware. La tecnología de ransomware es

evolucionando rápidamente, y tener una estrategia de defensa robusta de múltiples capas puede detener un ataque
antes de que pueda acceder a su entorno.
Aunque la fase de preparación es gestionada por un equipo diferente al CSIRT y
se implementa antes de que ocurra el incidente, NIST insiste en la importancia de esto
fase y lo recomienda como la primera fase de cualquier plan de respuesta a incidentes, debido a su
papel esencial en el éxito de todo tipo de programas de respuesta a incidentes de seguridad.
Las siguientes recomendaciones deben ser cubiertas en la fase de preparación de cualquier
plan de respuesta a incidentes de ransomware (cada uno ha sido cubierto en detalle en el anterior
capítulos):
• Capacitación sobre conciencia de seguridad : la capacitación de seguridad para el usuario final ayuda
evitar ataques de ransomware al hacer que los usuarios sepan cuán malicioso
los actores pueden penetrar e infectar los sistemas de TI (por ejemplo, los usuarios deben
entienda cómo funcionan los ataques de phishing por correo electrónico). Comprensión
la anatomía de un ataque de ransomware debe incorporarse a
cualquier programa de capacitación sobre conciencia de seguridad para que los empleados puedan informar
incidentes de ransomware descubiertos una vez para evitar que el ransomware
propagar la infección a otros dispositivos dentro de la red de destino.
• Defensa de dispositivos de punto final : una empresa debe fortalecer el punto final
computadoras y dispositivos móviles (por ejemplo, detener servicios innecesarios
y protocolos, cierre de puertos no utilizados, etc.). Esto también incluye
instalando soluciones antivirus y antimalware, manteniendo el sistema operativo y
aplicaciones actuales, que rigen ejecutables en ejecución en puntos finales,
y realizar otras contramedidas ayudan a hacer que su computación
dispositivo más resistente al ransomware y otras infecciones de malware.
• Defensa de la red : una empresa debe asegurar los puntos de entrada a

la red a través de sistemas de prevención de intrusiones (IPS) / intrusión
sistemas de detección (IDS) y cortafuegos, implementar red
segmentación para aislar redes infectadas más fácilmente, use menos
acceso privilegiado, imponer una autenticación fuerte, instalar anti-spam
soluciones en servidores de correo electrónico, escanee todo el correo electrónico entrante / saliente
archivos adjuntos, aplicar la lista blanca de aplicaciones en toda la organización
red y hacer cumplir las medidas de seguridad física; estos están entre
Las cosas que puede hacer para proteger el entorno de red.
205
Página 217
Capítulo 9 respondiendo a ataques de ransomware
• Políticas de seguridad : debe tener una política de seguridad actualizada y

asegúrese de que se aplique a todos los usuarios que acceden a la organización
Activos y recursos de TI.
• Plan de respuesta a incidentes : cada organización debe tener un claro

y plan de respuesta a incidentes actualizado que define los roles y
responsabilidades de cada empleado una vez que se produce un incidente de ciberataque (por ejemplo,
ataque de ransomware) se detecta.
¡Propina! un plan de respuesta a incidentes debe ir acompañado de una recuperación ante desastres
plan para restablecer las operaciones normales rápidamente y cumplir con muchos oficiales
regulaciones (por ejemplo, hipaa).
Detección y Análisis
Los incidentes de ransomware se pueden detectar a través de diferentes medios. Si te encuentras con alguno de
los siguientes signos en su dispositivo informático, entonces hay una alta probabilidad de que
son víctimas de un ataque de ransomware:
• Una pantalla de bienvenida cubre toda la pantalla y bloquea el acceso a

dispositivo infectado
• Encuentra archivos cifrados en su unidad o archivos con extensiones extrañas

que no puedes abrir
• El fondo de escritorio se ha reemplazado con una nota de rescate (ver

Figura 9-2)
• Encuentra archivos de texto / HTML que contienen instrucciones de pago de rescate

en cada carpeta que contiene datos que ha sido cifrado por
Secuestro de datos.
206
Page 218
Figura 9-2. Nota de rescate CERBER (archivo HTML) ubicada en el escritorio de la víctima
¡Advertencia! a veces un usuario puede descubrir un ataque de ransomware mientras aún está
cifrar archivos y antes de mostrar la nota de rescate. Por ejemplo, cuando un usuario
intenta abrir un archivo y lo encuentra inaccesible y con una extensión de archivo extraña, luego
existe una alta probabilidad de que haya un ataque de ransomware en curso. en eso
caso, el usuario debe apagar la computadora inmediatamente y buscar ayuda del
Es personal de seguridad.
En la fase de análisis, le preocupa responder las siguientes dos preguntas:
• ¿Qué tipo de ransomware está infectando su sistema?
• ¿Cómo entró el ransomware en su sistema?

(¿Cuál es el vector de infección)?
207
Page 219
Cubrí en el Capítulo 2 cómo identificar el tipo de ransomware usando gratis en línea

servicios. El Capítulo 3 discutió con cierto detalle las diferentes familias de ransomware y principales
características de cada cepa. Identificar la variante de ransomware es esencial para planificar
Los últimos pasos de contención. Por ejemplo, algunas variantes de ransomware tienen propagación
capacidades, mientras que otros no.
Para la segunda pregunta, como se discutió en el Capítulo 2 , se puede introducir ransomware
en una organización usando diferentes vectores de ataque. Los más comunes son los siguientes:
• Archivos adjuntos de correo electrónico y enlaces maliciosos incrustados
• vulnerabilidades del navegador web
• Software pirateado (programas infectados) incluido con malware
• dispositivos USB portátiles
¡Nota! El análisis de cómo se introdujo el ransomware en una organización

El entorno puede posponerse hasta la fase de actividad posterior al incidente. De todos modos, eso
debe identificarse antes de realizar la recuperación para evitar infectar sus archivos nuevamente.
Contención, erradicación y recuperación

Esta fase contiene tres subfases.
Contención
Después de que haya identificado que su sistema ha sido infectado con ransomware, usted
debe seguir estos pasos:
1. Aísle el sistema infectado de la red. Esto puede ser

logrado desconectando el cable de red y / o
desconectar cualquier conectividad inalámbrica que pueda estar en uso para
evite propagar la infección a otros dispositivos a través de la red.
2. Adquiera un volcado de memoria de la máquina infectada. Esto puede

será útil más adelante para encontrar el vector de ataque correcto y capturar
alguna información sobre la rutina criptográfica utilizada por el
atacantes, que pueden ayudar a descifrar los datos infectados.
208
Page 220
(Muchas variantes de ransomware sufren de lógica y programación

errores al implementar la rutina de cifrado, y esto puede ser
utilizado por expertos en criptografía para desarrollar un descifrador general para él).
3. Alternativamente, si no puede obtener una instantánea de RAM inmediatamente,

puede hibernar la máquina infectada y luego buscar ayuda de un
examinador forense profesional para capturar la memoria del sistema para
investigación exahustiva.
4. Asegure sus datos o sistemas de respaldo al desconectarlos

inmediatamente. Realice un análisis completo para asegurarse de que los datos de la copia de seguridad estén
libre de malware
5. Desactive las unidades compartidas.
6. Limite la conectividad a Internet desde servidores críticos hasta descubrir

y erradicar la fuente de infección.
7. Ahora necesita determinar el alcance de la infección para ver

Daño real causado por el ransomware. Comprueba lo siguiente
ubicaciones de signos de daño:
• Unidades compartidas asignadas.
• Carpetas compartidas asignadas.
• Todos los dispositivos de almacenamiento en red. No necesitas cerrar el archivo

servidor de almacenamiento En cambio, simplemente finalice el acceso a los archivos compartidos usando,
por ejemplo, un firewall.
• Verifique todos los dispositivos conectados por USB, como discos duros externos,
Memorias USB, tarjetas SD, teléfonos inteligentes, tabletas, computadoras portátiles y digitales
cámaras
• Verifique las cuentas conectadas en el almacenamiento en la nube (por ejemplo, Dropbox,

Google Drive).
8. Comuníquese con la policía de inmediato. Si el incidente tuvo lugar

en los Estados Unidos, es recomendable contactar a la oficina del FBI más cercana
informar el ransomware y buscar ayuda.
209
Page 221
Erradicación
Después de contener la infección de ransomware, debe erradicar
ransomware de las máquinas infectadas. La erradicación depende en gran medida de la
vector de ataque que causó la infección del ransomware. Por ejemplo, si el ransomware
ingresa a su entorno a través de un archivo adjunto de correo electrónico, debe purgarlo inmediatamente
todos los correos electrónicos recibidos en el servidor de correo electrónico y evitan que todos los usuarios abran cualquier correo electrónico con
un archivo adjunto hasta que identifique el correo electrónico malicioso. También debe considerar aislar
cualquier sistema, o incluso todo el segmento de red, donde se ha enviado el correo electrónico sospechoso
abierto hasta que verifique que no hay infección de ransomware en esa área.
Si el vector de ataque se introdujo a través de un navegador web (por ejemplo, usando un kit de exploits),
entonces debería considerar bloquear el acceso a sitios web maliciosos y realizar un escaneo
en los puntos finales infectados para actualizar o eliminar todos los componentes (por ejemplo, web vulnerable
complementos del navegador y cualquier aplicación desactualizada) utilizados para transportar la infección.
¡Nota! También es recomendable cambiar las contraseñas (para cuentas en línea,

sistemas operativos y acceso a la red) de todos los usuarios afectados por
ataque de ransomware.
Recuperación
Ahora que se ha identificado el tipo de ransomware y la causa raíz de la infección
claramente, comienza el proceso de recuperación. Tiene cuatro respuestas posibles para seleccionar.
Reinstalar desde el respaldo

Esta es la solución más factible para luchar contra el ransomware; sin embargo, requiere el
existencia de una buena solución de respaldo. Antes de continuar con esta opción, pregúntese
siguientes preguntas:
• ¿Tiene una copia de seguridad completa para todas las máquinas afectadas?
• Con qué frecuencia se ejecuta su copia de seguridad (por ejemplo, todas las semanas, todos los días,
cada hora)?
210
Página 222
• ¿Probó su copia de seguridad para asegurarse de que sea confiable y funcione?

¿como se esperaba?
• ¿Está su sistema / datos de respaldo aislado de los dispositivos de punto final locales para
¿Prevenir la propagación de la infección?
Si tiene buenas respuestas para las preguntas anteriores, puede estar seguro de que
Puede restaurar sus datos infectados desde la copia de seguridad.
¡Nota! el sistema de respaldo puede ser una solución de respaldo interna o en la nube.
Intenta usar un descifrador

Como se mencionó anteriormente en el libro, después de conocer a la familia de ransomware, realice un en línea
busque para ver si hay un descifrador para ese tipo de ransomware. Comience con el
No más proyecto de rescate (https://www.nomoreransom.org ) y NJ Cybersecurity &
Celda de integración de comunicaciones ( https://www.cyber.nj.gov/threat-profiles/
Secuestro de datos) Actualmente, el NJCCIC perfila un total de 216 variantes de ransomware y 97
de ellos tienen herramientas de descifrado u otras soluciones técnicas para recuperar sus datos.
¡Advertencia! asegúrese de conectar todos los dispositivos de almacenamiento extraíbles, como UsB
unidades y discos duros externos que contienen datos cifrados antes de ejecutar el
descifrador para asegurarse de que sus datos también se descifren.
Pagar el rescate
Esta opción debe considerarse cuidadosamente, como se cubre en el Capítulo 7 . Asegurate que
realice una evaluación del valor de los datos infectados para determinar su importancia para su
negocio. También debe calcular los costos de tiempo de inactividad asociados con el ataque.
¡Hacer nada!
Limpie los sistemas infectados e instale un SO y aplicaciones nuevos. Asegúrate de tener un
copia de seguridad de los datos infectados (cifrados) en caso de que alguien desarrolle un descifrador en el futuro.
211
Página 223
Actividad posterior al incidente

Después de eliminar la infección del ransomware y restaurar las operaciones normales, un
la organización debería revisar las lecciones aprendidas del ataque para ayudar a prevenir similares
los ataques ocurran en el futuro. Las siguientes son las áreas que deberían ser
revisado por posible mejora:
• Implemente soluciones de tecnología de defensa en los puntos finales y

la red
• Hacer cumplir las políticas de seguridad
• Mejorar cualquier atajo en la capacitación de ciberseguridad de los usuarios finales para hacer
capaces de reaccionar adecuadamente a un ataque de ransomware
Finalmente, debe implementar las recomendaciones de mitigación mencionadas en este

libro para estar más preparado y prevenir futuros ataques de ransomware.
Resumen
Los ataques cibernéticos son inevitables, y las amenazas de ransomware son una amenaza significativa para
empresas y particulares por igual. Cada organización puede responder a los ataques de ransomware
diferentemente. La respuesta de una organización determina su capacidad para restablecer su funcionamiento.
rápidamente y para responder a diferentes demandas legales y regulatorias impuestas por tales ataques.
Aquí hay un breve resumen de las medidas clave que debe tomar en el caso de un
ataque de ransomware:
1. Aísle el sistema infectado y asegure los datos de la copia de seguridad.
2. Inicie un plan de continuidad comercial para restaurar las operaciones rápidamente.
3. Busque ayuda de un examinador forense digital para preservar la evidencia.

(p. ej., registros de red y servidor, instantáneas de memoria del sistema, punto final
registros de seguridad del dispositivo, etc.) de manera forense.
4. Active el plan de respuesta a incidentes.
5. Documente el incidente y esté preparado para cualquier legal, seguro,

o reclamo de disputa.
Las organizaciones exitosas aprenden de cada incidente de seguridad; recopilan comentarios,

revisar los controles de seguridad implementados (tanto técnicos como de políticas) y actualizar sus
plan de respuesta a incidentes y procedimientos de mitigación en consecuencia para mantenerse al día con el
últimas amenazas impuestas por ransomware y otros tipos de malware.
212
Página 224
Índice
UN si
Amenaza persistente avanzada (APT), 131, 164 Puertas traseras, 12
Adware, 11 Estrategia de respaldo y recuperación, 148
Virus troyano / PC Cyborg del SIDA, 4 Bitcoin, 179
Métodos de pago anónimos. Botnets, 42
autoridades, 187, 188
Bitcoin
Cajero automático, 183 C
efectivo, 183 Cerber, 52
sistema de efectivo digital, 179 extensión de archivo, 52
abrir una cuenta 180– 182 aviso, 54
la transacción de pago funciona, 185, 186 trabajo fuera de línea, 52
tajetas prepagadas, 183 aviso de pago, 54
enviando el pago, 184 Malware informático
elegir pagar o no pagar adware 11
rescate, 188, 189 puertas traseras, 12
criptomoneda 179 componentes
tarjetas de regalo prepagas, 186 blindaje, 17
Producto anti-ransomware, 121 Centro de C&C, 17
Técnicas de detección de antivirus. ofuscador / empacadores, 15
análisis de comportamiento, 73 carga útil, 14
detección basada en la nube, 74 persistencia, 15, 16
características, 75 sigilo, 16
detección heurística, 74 criptojacking, 10
detección de caja de arena, 74 DDoS, 13
detección basada en firma, 73 descargadores, 12
AppLocker, 138 funciones, 13
Técnica de armadura, 17 Secuestro de datos, 10
archivo autorun.inf, 100 rootkit, 12
213
Hassan de NA, Ransomware revelado ,https://doi.org/10.1007/978-1-4842-4255-1
Page 225
ÍNDICE
Malware informático ( cont. ) instrucciones paso a paso, 60

scareware 11 Autenticación de mensajes basada en dominio
spyware 11 Informes y conformidad
Caballo de Troya, 12 (DMARC), 133
virus, 9 9 DomainKeys Identified Mail
gusanos 10 (DKIM) 133
Criptomoneda, 179 Sistema de nombres de dominio (DNS), 146
Criptojacking, 10
Crypto ransomware, 18
CryptoWall
mi
modelo de comunicación, 66 eepsite, 64
grupos criminales, 63 Información electrónica protegida de salud
formatos de archivo, 63 (ePHI), 27
TOR, 63 Seguridad de correo electrónico
variantes, 64 bloquear archivos adjuntos, 134, 135
versión, 64, 65 métodos, 131
CrypXXX métodos de filtrado de spam, 132– 134
Instrucciones de pago, 62 E-mail spoofing, 32
versión 62, 63 Seguridad de punto final, 71
Gestión de la relación con el cliente EternoAzul, 51, 57
(CRM), 131, 159 EternoRomance, 57
Inteligencia de ciberamenazas , 198 Explotar kits, 84
componentes, 36
partes, 35
re
darknet, 64
Política de clasificación de datos, 135, 136 F
DataKeeper, 39 Extensiones de archivos, 92
Prevención de pérdida de datos (DLP), 71, 149, 150 Encabezado de firma de archivo, 60, 61
Desinfección de datos, 147 Firefox
Estrategia de defensa en profundidad (DiD), 116, 164 bloque de descarga, 81
Tipos de chantaje digital advertencia engañosa del sitio, 82
Extorsión DDoS, 20 desactivar ventanas emergentes, 81
scareware 19, 20 Habilitar phishing y malware
Denegación de servicio distribuida (DDoS), 13 proteccion, 82
DMA Locker FortiGuard, 150
teclas de ejecución automática, 61 Actualizadores de software gratuitos, 77
214
Página 226
ÍNDICE
sol infección, 56
técnica, 55
GPCoder, 5
Cuenta de usuario con privilegios bajos, 86
H
Portabilidad del seguro de salud y
METRO
Ley de responsabilidad (HIPAA), 26, 157 Publicidad maliciosa / publicidad maliciosa
Hermes ransomware, 47 trabajando, 34
Honeypots 129, 130 Proveedor de servicios gestionados (MSP), 42
Sistema de detección de intrusos basado en host Registro maestro de arranque (MBR), 56
(HIDS) 125 Tabla maestra de archivos (MFT), 56
Macros de Microsoft Office, 38, 84
Mischa, 57
yo Dispositivos móviles, defensa, 93
Infraestructura como servicio (IaaS), 39
Organización internacional para
Estandarización (ISO), 122 norte
Sistemas de detección de intrusiones (IDS), 42, 125 Agencia de Seguridad Nacional (NSA), 51
Sistemas de prevención de intrusiones Autenticación de nivel de red (NLA), 103
(IPS), 125, 158 Línea de base de rendimiento de red, 130, 131
Sandboxing de red, 127
Segmentación de red, 120, 121
J Cortafuegos de próxima generación (NGFW), 123, 124
Java Runtime Environment (JRE), 76 NotPetya, 56, 57
K O
Kazi 57 Inteligencia de código abierto (OSINT), 173
L P, Q
Cuentas con menos privilegios, 122 Requisitos de contraseña, 136, 137
Política de grupo local Gestión de parches
AutoRun, 102 definición, 116
SRP, 107 política, 117, 118
Locker ransomware, 18 años herramientas, 118
Locky 55 Seguridad de datos de la industria de tarjetas de pago
daño, 55 Estándar (PCI-DSS), 157
215
Página 227
ÍNDICE
Petia, variantes, 56 Ciclo de vida de incidentes de ransomware

Estafas de phishing, 32 fase de análisis, 207, 208
Seguridad física, 119, 120 contención, 208, 209
Programa pirateado, 37 detección 206, 207
Software pirateado, 90 erradicación, 210
Plataforma como servicio (PaaS), 39 actividad posterior al incidente, 212
Carga pública, 92 Fase de preparación, 204– 206
recuperación
pago de rescate, 211
R restaurar copia de seguridad, 210, 211
RanSim, 150 utilizando descifrador, 211
Secuestro de datos, 10 RDN / rescate, 57
vs malware,21, 22 Protocolo de conexión a escritorio remoto, 59
síntomas 22, 23 Protocolo de escritorio remoto
Ransomware como servicio (RaaS) (PDR) 40, 48, 58
actores, 39 acceso, 103
cibercriminales, 39 número de puerto cambiante, 105
DataKeeper, 39, 40 activar / desactivar, 41
Ataque de ransomware Reveton ransomware, 62
sistemas de detección, 45, 46 Rootkits 12
etapas, 44 Ryuk
El objetivo de los ataques de ransomware Bitcoin 48
empresas, 23 nota de muestra, 49
industria de la salud, 23 usos, 48
Dispositivos informáticos, 24
notificación, 26, 27
sistemas operativos, 24 S
tipo de tecnologías, 25 Samas 57
Herramientas de descifrado de ransomware Sam Sam
inteligencia de amenaza cibernética, 198- 200 ataques, 59
familias de cifrado ransomware, clave de descifrado, 59
194- 196 habilidades de piratería, 58
infectado con 192 herramientas de pirateo, 58
recuperar archivos borrados, 197, 198 tácticas de ingeniería social, 58
bloqueo de pantalla Tecnología de sandboxing, 78
extracción manual, 193 Scareware / engaño
Pantalla Trend Micro Ransomware software / fraude, 11
Desbloqueo, 193 Entrenamiento de conciencia de seguridad, 44
216
Página 228
ÍNDICE
contenido propiedades de ejecución, 109

Ingeniería social, 163 Política de grupo local, 107
desarrollando Nueva regla de ruta, 110– 112
roles, 159, 160 nueva creación de políticas, 108
creación de equipo, 159 nivel de seguridad, 110
temas, 161, 162 Windows 10, 107
materiales de capacitación, 162 Correo electrónico de spam / phishing, 30
buceo en basurero, 172 comunicaciones, 30, 31
importancia suplantación de correo electrónico, 32
evitar pérdidas, 158 estafas de phishing, 32
requisitos de cumplimiento, 157 phishing de lanza, 32
violaciones y ataques de datos, 156, 157 anuncios no solicitados, 32
satisfacción de los empleados, 158 phishing de ballenas, 32
aumento de reputación, 157 Spear phishing, 32
aumentar la defensa tecnológica, 158 Spyshelter 150
OSINT, 173 Spyware 11
ataque de correo electrónico de phishing, 163, 164
juegos de rol, 173
correo electrónico de phishing de muestra, 164– 170 T
herramientas de seguridad, 171, 172 Testmyav 150
surf de hombros, 172 Software de respaldo de terceros, 96
ingeniería social, 163 Toolwiz Time Freeze, 78
Politica de seguridad Pantalla Trend Micro Ransomware
definición, 151 Herramienta de desbloqueo, 193
elementos, 151, 152 Caballo de Troya, 12
razones, 153, 154
Marco de políticas del remitente (SPF), 133
Aplicación Shade Sandbox, 79 U
Pequeñas y medianas empresas UltraCrypter, 63
(PYMES), 156 Gestión unificada de amenazas (UTM), 126
Instantáneas, 96 Anuncios no solicitados, 32
Ataques de ingeniería social, 163 Bloqueo de URL, 127, 129
Software como servicio (SaaS), 39 Uso de unidad USB, 147
Políticas de restricción de software Memorias USB y medios extraíbles, 36
(SRP), 106, 138 Memorias USB, 91
Reglas adicionales 110, 111 Control de cuentas de usuario (UAC), 89, 145
217
Página 229
ÍNDICE
V SRP, 107
UAC 89, 90
Tecnología de virtualización, 77
Windows AppLocker
Visual Basic para Aplicaciones (VBA)
configuración
lenguaje de programación, 38, 84
Servicio de identidad de la aplicación, 145
Servicio de instantáneas de volumen
reglas predeterminadas, 144
(VSS), 51, 96–98
Reglas ejecutables, 141
Gestión de vulnerabilidades
Preferencias de reglas, 142, 143
definición, 122
Ventanas 10, 139
herramientas de escaneo, 123
mejoras, 138
etapas, 122
reglas, 139
Configuración de Windows, 76
Función de ejecución automática, 100
W, X, Y
comandos, 103
Quiero llorar, aviso, 50
editor de políticas de grupo local, 101, 102
Ataque de pozo de agua, 34
extensiones de archivo, 99
navegadores web
Política de grupo de Windows, 101
complementos, 83
Windows Script Host (WSH)
tecnología de sandboxing, 78
Tecla DWORD, 85
Aplicación Shade Sandbox, 79 funcionalidad, 85
WEBGAP 80
riesgos de seguridad, 85
bloque de página web ( ver Firefox)
VBS script, 86
Phishing de ballenas, 32
Actualización de Windows, 76
Wicar 150
Extensión .WNCRY, 51
Ventanas 10
cambio de tipo de cuenta, 88
copias de seguridad, 94, 95 Z
creación de nuevos usuarios, 87 Vulnerabilidades de día cero, 43
218

Ransomware - Nihad A. Hassan

Cargado por

Información del documento

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Ransomware - Nihad A. Hassan

Cargado por

Copyright:

Formatos disponibles

28/12/2019 Una guía para principiantes para proteger y recuperarse de los ataques de ransomware - Nihad A.

Ransomware revelado: una guía para principiantes para proteger y recuperarse de

ISBN-13 (pbk): 978-1-4842-4254-4 ISBN-13 (electrónico): 978-1-4842-4255-1

Copyright © 2019 por Nihad A. Hassan

Director Gerente, Apress Media LLC: Welmoed Spahr

Funda diseñada por eStudioCalamar

Imagen de portada diseñada por Pixabay

Impreso en papel sin ácido

A mi madre, Samiha, gracias por todo.

Sobre el revisor técnico .............................................. ................................. xiii

Agradecimientos ................................................. .................................................. xv

Introducción ................................................. .................................................. ........ xvii

Parte I: Introducción a las amenazas de ransomware ........................................... ....... 1

Capítulo 1: Descripción general del ransomware ............................................. .............................. 3

Malware informático ................................................ .................................................. ...................... 9

Tipos de malware ................................................ .................................................. ....................... 9

Tipos de ransomware ................................................ .................................................. ................... 17

Crypto Ransomware ................................................ .................................................. ............ 18

Otros tipos de chantaje digital ............................................. ............................................... 19

Síntomas del ransomware ................................................ .................................................. ........... 22

Requisitos de notificación de ataques de ransomware ............................................. ....................... 26

Resumen................................................. .................................................. .................................. 28

Capítulo 2: Métodos de distribución de ransomware ............................................ ........... 29

Ataques a orificios de riego ............................................... .................................................. ................ 33

Kits de explotación ................................................ .................................................. ................................ 34

Sitios web de contenido pirateado .............................................. .................................................. ........... 37

Ransomware como servicio .............................................. .................................................. .......... 39

Conexión de escritorio remoto ............................................... .................................................. ...... 40

Proveedores de servicios gestionados ............................................... .................................................. ....... 42

Vulnerabilidad de día cero .............................................. .................................................. ................. 43

Etapas de un ataque de ransomware ............................................. .................................................. .. 44

¿Por qué el software antivirus no puede detectar ransomware? .................................................. ................ 45

Resumen................................................. .................................................. .................................. 46

Capítulo 3: Familias de ransomware ............................................. .............................. 47

Quiero llorar ................................................. .................................................. ................................. 50

Cerber ................................................. .................................................. ...................................... 52

Locky ................................................. .................................................. ........................................ 55

Petya ................................................. .................................................. ........................................ 56

DMA Locker ................................................ .................................................. ............................... 59

CryptoWall ................................................. .................................................. ................................ 63

Resumen................................................. .................................................. .................................. 66

Parte II: Estrategias de mitigación de ransomware ............................................ ...... 69

Capítulo 4: Estrategias de defensa de puntos finales ............................................ ..................... 71

Actualizar SO y aplicaciones instaladas ............................................. ............................................ 76

Navegación web segura ............................................... .................................................. ................ 78

Bloquear redireccionamiento de página web .............................................. .................................................. ....... 81

Complementos del navegador web ............................................. .................................................. ............ 83

Deshabilitar macros en archivos de Office ............................................. .................................................. ...... 84

Use una cuenta con menos privilegios ............................................. .................................................. ...... 86

No instale software pirateado ............................................. .................................................. .... 90

USB Thumb Drive Security .............................................. .................................................. .......... 91

Cambiar extensiones de archivo importantes .............................................. ................................................ 92

Copia de seguridad de sus datos .............................................. .................................................. ....................... 93

Configure Windows para combatir mejor el ransomware ............................................ ........................... 98

Desactivar reproducción automática ................................................ .................................................. ................ 100

Habilitar políticas de restricción de software .............................................. ..................................... 106

Capítulo 5: Estrategias de defensa empresarial contra ataques de ransomware ............... 115

Endurezca su entorno ............................................... .................................................. ........ 119

Seguridad física ................................................ .................................................. ............... 119

Segmentación de red ................................................ .................................................. ...... 120

Usar cuentas de menor privilegio ............................................. ................................................. 122

Herramientas de escaneo de vulnerabilidades ............................................... ................................................. 123

Sistemas de detección de intrusiones y sistemas de prevención de intrusiones ........................................... ... 125

Bloqueo de URL malicioso ............................................... .................................................. ............ 127